Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 84 reacties

Een vertrekkend topman van de FBI is van mening dat hackers van bedrijfsnetwerken aan de winnende hand zijn. Ze zouden te getalenteerd zijn en de bestaande maatregelen om hacks te voorkomen zouden niet toereikend zijn.

Shawn Henry, executive assistant director bij de FBI, schetst tegenover The Wall Street Journal een grimmig beeld van de strijd tegen ict-criminaliteit. Hij noemt de huidige aanpak 'niet vol te houden'. Bedrijven moeten grote veranderingen doorvoeren om verdere schade te voorkomen, meent Henry.

De topman claimt dat zowel de technologie als het gedrag moet veranderen. "Het is anders niet vol te houden, in de zin dat we nooit voorsprong opbouwen, nooit veilig worden, nooit een redelijke verwachting van privacy of beveiliging zullen krijgen." Hij gelooft niet dat er in de VS een computernetwerk is, buiten de speciaal beveiligde netwerken, dat als veilig te beschouwen is.

Henry werkt meer dan twintig jaar bij de FBI en heeft een belangrijke rol gespeeld bij de cyber security-strategie van de organisatie. Zijn uitlatingen komen op een moment dat hij de dienst gaat verlaten om bij een nog niet nader genoemd beveiligingsbedrijf te gaan werken.

Moderatie-faq Wijzig weergave

Reacties (84)

Vind ik ook niet meer dan logisch omdat bedrijven op dit gebied vaak een "cost efficient business model" hanteren waarbij ze naar probabiliteit kijken in plaats van het daad werkelijk het systeem water dicht te maken. Het maakt bedrijven ook weinig uit dat er privť gegevens worden gestolen. Ze berekenen gewoon uit wat het kost om de getroffen slacht offers te compenseren indien nodig en wat het kost het hele ICT systeem "up to date" te houden. En dan is het vaak het goedkoper om gebrekkig systeem te hebben dan daadwerkelijk het systeem te onderhouden.

------

Ik denk ook niet dat de FBI zelf genoeg mensen inzet voor het preventief opsporen van dit soort hackers. Zogenaamde "Covert Operation" http://en.wikipedia.org/wiki/Covert_operation kunnen ook gewoon online uitgevoerd worden want zo een hacker doet het niet van 1 op de andere dag omdat hij er gewoon maar eens zin in heeft.
Dus daarmee kunnen ze in ieder geval inzicht proberen te krijgen hoe, waarom en waarmee zo een hacker aan de slag gaat.

Zullen wellicht doen maar als ik hoor waar ze achteraf altijd achter komen en dat ze pas achteraf na een onderzoek mensen kunnen oppakken wekt het niet de indruk dat ze de hackers heel serieus nemen.

maar goed genoeg "theory crafting" over de FBI :P
Dit is een waarheid als een koe en wat mij betreft ook het hele probleem.
Men is inderdaad aan de winnende hand, maar het is dan ook een beetje de bedrijven hun fout. Meer en meer wordt security bij bedrijven (, de processen/ modellen/ technologien) complexer en complexer. Dit brengt enig probleem mee dat er inderdaad meer en meer vlakken zijn waar er op kan ingebroken worden. Het is dan ook zoals men zegt dat de bedrijven veranderingen moeten doen en een simpel solid systeem te gebruiken voor security.

Natuurlijk ligt wel de grootste fout bij de hackers, die uiteindelijk wel criminele feiten uitvoeren, maar beide zaken werken elkaar in de hand.
"Bedrijven moeten grote veranderingen doorvoeren om verdere schade te voorkomen"
....
"Zijn uitlatingen komen op een moment dat hij de dienst gaat verlaten om bij een nog niet nader genoemd beveiligingsbedrijf te gaan werken."

Stemming maken ten gunste van zijn nieuwe werkgever?
Ik vond het juist wel een doordachte opmerking. In tegenstelling tot nog meer wetgeving invoeren en nog meer bevoegdheden aan de FBI te geven (zoals enkele partijen maar al te graag willen binnen de politiek van de VS) moeten bedrijven zelf zorgen dat ze hun security beter op orde hebben. Meer preventie dus in plaats van meer bestrijding. Zo las ik het.

Als jouw houten stad af blijft branden, dan kan je alle pyromanen vast proberen te zetten en alle lucifers en aanstekers verbieden of aan banden leggen, maar je kan ook met steen gaan bouwen.

[Reactie gewijzigd door Zoijar op 28 maart 2012 13:18]

Ben het helemaal eens met Zoijar,

Gezien de grote hoeveelheid lekken en gekraakte systemen van overheden maar ook kritische bedrijvigheid ben ik al langer voorstander van:
Strikt gescheiden netwerken.
Non Networked systemen.
Systemen zonder mogelijkheid tot kopiŽren.
Systemen die letterlijk behoren tot onroerend goed (niet mee te nemen dus).

Al het andere beschouw ik zelf als vroeg of laat publiekelijk.

Voor particulieren zie ik zelf gevaren in Sociale netwerken vs Commercieel misbruik.
Denk aan de rel die in de vs is ontstaan over het moeten inleveren van login codes van bv facebook bij sollicitatie:
nieuws: Senatoren: onderzoek naar werkgevers die Facebook-logins opeisen
Inderdaad, zo'n systeem zou heel erg veilig zijn. Het is echter ook practisch nutteloos aangezien het systeem zo onwerkbaar is dat men het toch niet zal gebruiken. Je krijgt dan een soort systeem als in mission possible. Ok, voor zaken met de hoogste vetrouwelijkheidsclassificaties is dat misschien nog te doen. Maar zien je dat al voor je bij de belastingdienst of je bank? IPV 2 minuten duurt geld openemn dan 2 weken en drie bezoeken aan je bankfiliaal. Veiligheid en gebruiksvriendelijkheid zijn bijna niet te combineren.

Wat ook meespeelt: beveiligers zijn aan allerlei regels gebonden, hackers niet. Hetzelfde zie bij leger&politie versus terroristen&criminelen. Zolang het publiek zaken als gebruiksvriendelijkheid en privacy eist zal een systeem nooit veilig gemaakt kunnen worden.
Ik noem 4 oplossingen om hacken tegen te gaan, jij noemt het 1 systeem, dat is onjuist.

Verder zijn deze 4 mogelijke oplossingen uiteraard apart van elkaar of gecombineerd te gebruiken afhankelijk van datgene wat er bereikt moet worden.

Het noemen van 2 instellingen waar het nou net niet zou werken noem ik niet constructief en slecht beargumenteerd.

Iedereen die even verder denkt dan standaard maar overal internet aan te hangen beseft dat er nog oneindig veel meer oplossingen zijn dan dat. Al is het alleen maar door een Non Networked PC met de hand te voeren met input en deze data ook weer met de hand uit het systeem te halen. Knappe hacker die nog weet in te breken in dat systeem..... _/-\o_

N.B. haal even de N weg uit: Maar zien je dat al voor je, want dat ziet er niet uit.... ;)

[Reactie gewijzigd door trm0001 op 28 maart 2012 17:54]

Zijn uitlatingen komen op een moment dat hij de dienst gaat verlaten om bij een nog niet nader genoemd beveiligingsbedrijf te gaan werken.
Of hij doet alvast aan klantenwerving voor het bedrijf waarvoor hij gaat werken? Wellicht dat ook dit een rol speelt bij deze uitspraak? Zo van: "Niets is veilig voor hackers, maar ik ga ervoor zorgen, met mijn expertise, dat het bedrijf waarvoor ik mijn diensten aan ga verlenen ga ondersteunen om het tij te keren.

Wellicht dat ook een stukje eigenbelang een rol speelt. Het is toch niet echt toevallig dat hij dergelijke uitlatingen doet op het moment dat hij "het Bureau" gaat verlaten? 8)7
Wellicht dat ook een stukje eigenbelang een rol speelt. Het is toch niet echt toevallig dat hij dergelijke uitlatingen doet op het moment dat hij "het Bureau" gaat verlaten? 8)7
Misschien. Aan de andere kant dacht hij dit misschien al jaren, maar was het niet bijzonder slim om je zo uit te laten als je nog ergens werkt. Nu hij toch weg gaat kan hij zeggen wat hij echt vindt (zonder ontslagen te worden...)
Denk eerder eindelijk kunnen zeggen wat hij al jarenlang op z'n hart heeft zonder daarop afgerekend te worden door z'n meerderen.
Ik snap niet waarom ze niet gewoon een paar van de 'hack-jongens' aannemen. Die geef je een goed loon (die koekenbakkers van nu verdienen namelijk bakken met geld) en je geeft ze gewoon 1 opdracht mee. Bijvoorbeeld beveilig dit zo en zo, zodat daar niks meer uit gehaald kan worden. Nou zit hij dan een dagje mee te prutsen en hij heeft het. Dan laat je zo;n anders techneutje zijn nieuwe beveiliging hacken. Dan lost hij dat gat in de beveiliging even op. Dit doe je net zolang tot het niet meer gehackt kan worden en uiteindelijk heb je een goed beveiligd systeem.

Ik snap bedrijven ook niet. Er zijn denk ik genoeg 14-16 jarigen die heel veel afweten van hacken, scripts, etc. Geef die lui een uurloon van 10 euro per uur. Laat ze 10 uur werken aan je bedrijfsnetwerk en ik wil wedden dat gemiddeld je bedrijf zo 50-75 procent beter beschermt is, dan wanneer je een bedrijf inhuurt die zegt alles te regelen voor je.

[Reactie gewijzigd door pyro-tukker op 28 maart 2012 12:53]

Ik snap niet waarom ze niet gewoon een paar van de 'hack-jongens' aannemen.
Waarom zou een "hack-jongen" voor een organisatie als de FBI willen werken? Of voor een groot bedrijf?
Dit doe je net zolang tot het niet meer gehackt kan worden en uiteindelijk heb je een goed beveiligd systeem.
Behalve dat je in een paar maanden tijd een half legertje hackers van dubieuze betrouwbaarheid op je netwerk met gevoelige informatie hebt losgelaten, heb je dan nog steeds geen goed beveiligd systeem. Een grote kwetsbaarheid zit 'em in het gedag van gebruikers en bedrijfsmedewerkers.

Jouw visie op beveiliging, alsof het technisch op te lossen valt, is juist het grote probleem waarom het nu niet lukt. Het is iets dat bedrijfsbreed moet worden ingevuld. Van CEO tot schoonmaker moeten ze allemaal hun rol snappen en veiligheid vanuit hun functie begrijpen.

Zolang schoonmakers nog zomaar iedereen zonder bedrijfspas binnenlaten en zolang CEO's consequent business-belangen boven beveiligingsbelangen laten prevaleren, zal het probleem blijven bestaan.

[Reactie gewijzigd door Keypunchie op 28 maart 2012 13:06]

CEO's consequent business-belangen boven beveiligingsbelangen laten prevaleren, zal het probleem blijven bestaan.
second that.Veiligheid verkoopt niet en is zeker niet te prototypen. Terwijl "veilig" programmeren (goed wachtwoord gebruik, voorkoming van codeinjectie) echt geen raket wetenschap is.
De FBI moet nodig over redelijke verwachting van privacy praten. Daarnaast geeft deze man toch vooral zijn eigen falen toe aangezien hij een belangrijke rol gespeeld heeft bij de cyper security-strategie van de FBI. En dus niet heeft kunnen voldoen aan de eisen.
Hij zat waarschijnlijk vast aan regels van een hogere en die willen het meestal niet snappen
Idd eigen falen is altijd de schuld van de baas ;)

on topic:
Het is wel goed dat er wordt gesproken over wat je redelijk mag verwachten qua beveiliging en privacy bij het voeren van een bepaald ICT-beleid. Veel organisaties `doen nu maar wat' en schrikken zich een tierelier op het moment dat het misgaat. Dat verschil tussen `gevoel van veiligheid' en daadwerkelijke veiligheid is in sommige gevallen levensgroot.

Zo'n discussie is dus heel relevant wat betreft gewaarwording, maar de mentaliteit en de beleidsmatige keuzes binnen een organisatie veranderen is haast onmogelijk op een semi-korte termijn.
Hij zat waarschijnlijk vast aan regels van een hogere en die willen het meestal niet snappen
of aan de regels van de wet, iets wat bij de FBI nog veel meer een rol speelt. De politie (ook de federale, zoals de FBI) mag de wet nooit en te nimmer breken.
De FBI zit maar tot zekere mate vast aan regels, hoor. Ze hebben onder leiding van Hoover ook in koude bloede linkse mensen en (burgerrechten) activisten vermoord, een rol die ze vandaag de dag voortzetten door massaal activisten en protestbewegingen in de gaten te houden en op te pakken. President Truman vreesde dat Hoover een "Amerikaanse Gestapo" had gecreŽerd;

http://www.eenvandaag.nl/...0048/fbi_een_geschiedenis
Leuk zo speculeren. Wat waren die eisen eigenlijk? Stel er was niks, en hij heeft een basisteam opgezet dat 20% kan bestrijden. Heeft hij dan gefaald? Beetje kort door de bocht.
Daarnaast geeft deze man toch vooral zijn eigen falen toe aangezien hij een belangrijke rol gespeeld heeft bij de cyper security-strategie van de FBI. En dus niet heeft kunnen voldoen aan de eisen.
Hoe moet ie dan bijv. bewerkstelligen dat er geen talloze zero-day exploits meer opduikelen bij de criminelen?
Dan moet je bij de bronnen beginnen:
1. Altijd alleen het veiligste besturingssysteem toestaan die op de markt is.
2. (Vooral software-)Bedrijven die er een potje van maken met het ene lek na het andere, keihard aanpakken.
3. Een nieuw, veilig internet bouwen, en dan veilig. En dan tegelijkertijd het oude hard afbouwen.
Hoe moet die beste man dat in vredesnaam voormekaar krijgen? Er is helemaal geen wil bij de bevolking voor zulks.
ICT binnen bedrijven worden opgebouwd, geketend aan regels, procedures en budget.

Als we alleen naar NL kijken, en zien hoe moeilijk het is om iets als IE6 weg te werken, hoe kan je dan verwachten dat er veilig bedrijfsnetwerken opgebouwd kan worden?

De echte goede ICTers zullen ook nooit in zo'n bedrijfscultuur blijven zitten. Alleen de slechtere zullen er komen, die weer geen kaas hebben gegeten van techniek.

Vicieuze cirkel


(gelukkig zijn de meeste "hackers" scriptkiddies)
[...]
(gelukkig zijn de meeste "hackers" scriptkiddies)
Dat mag dan wel zo zijn, de groten bedrijven hebben juist problemen met de echte hackers. Geloof me, die zijn er zat!

ot:

Ik ben bang dat dit mosterd na de maaltijd is. Als ze de bedrijven wilden waarschuwen hadden ze daar beter net wat eerder aan de bel moeten luiden. Ik kan nu geen tweakers.net bekijken zonder wekelijk een bericht tegen te komen dat een of ander bedrijf slachtoffer is geweest van een of andere hack. Beter doen de bedrijven hun ogen open en kijken ze naar de realiteit! Hier moet een internationale kwestie van worden gemaakt, en misschien zelfs boetes uitdelen voor bedrijven die niet genoeg investeren in internet security. Ik wil graag dat de vertrouwde gegevens die bepaalde bedrijven over mij bezitten tussen ons blijft. Ik heb geen zin in een of andere hacker die al mijn gegevens op pastebin plaatst.
Helaas is het voor de meeste bedrijven een simpele financiŽle afweging. Als het goedkoper is om eens in de zoveel tijd gehackt te worden, dan om continu de beveiliging goed op orde te hebben, dan is de keuze snel gemaakt en wordt er beknibbeld op beveiliging. Dingen die voor jou persoonlijk erg belangrijk zijn, zoals je privťgegevens, zijn voor een bedrijf niet meer dan een potentiŽle kostenpost (in geval van een hack of lek), een getalletje dat meegenomen wordt in de formule.
IE6 is toch eigenlijk heel simpel weg te werken.
Het probleem is dat men vaak het niet wil en bij verouderde technieken willen blijven en niet verder dan Microsoft willen kijken.

Ik erger me er ook al jaren aan er is nog veel meer dan Windows.

Daarbij denk ik opleidingen verbeterd moeten worden.
Niet meer 2 jarige MBO IT opleidingen maar gewoon 4 jarige opleidingen en betere kennis van informatica.

Er wordt al zoveel onzin uitgekraamd in IT land en uitzendbureaus weten niet eens waar ze op moeten letten voor sollicitanten omdat men zelf te weinig IT kennis heeft.
En met alleen papiertjes en ervaring ben je er nog niet, ik vind juist creativiteit en handigheid belangrijk.
Zo simpel is het weg krijgen van IE6 toch niet imo. Het probleem is dat veel third party applicaties specifiek voor IE6 geschreven zijn en gewoon niet werken op hogere versies. De leverancier heeft dan schijnbaar een machtspositie en vertikt het domweg om een update uit te brengen, of wil alleen een compleet nieuwe versie verkopen die dan wel werkt maar waar weer de hoofdprijs voor betaald moet worden. En concurrentie die software levert met precies dezelfde functionaliteit is er vaak niet. En is die er wel, dan heb je bij overstap weer een heel migratieproces wat ook klauwen vol geld kost.
Dan heb je een slecht software pakket en dan zou ik al helemaal juist nu gaan overwegen om te migreren naar een beter pakket en misschien zelfs wel onder een beter OS dan Windows.

Niks doen is op den duur je kop stoten en uiteindelijk betaal je dan de dubbele rekening.
En dat kost het pas echt klauwen vol geld.

Vergeet niet dat op den duur op nieuwere computers geen windows XP meer kan draaien. En dat de computers een keer stuk gaan. Roest daarin niet vast.

Daarbij moet je niet kijken naar software wat precies hetzelfde doet maar naar software die het nog veel beter doet waardoor je veel productiever bent. (en dat zal er dan ook echt wel zijn).

En ik heb al veel gezien die niet productief zijn omdat men gewoon rotzooi gebruikt en het zelf niet eens doorhebben.

Ik noem een voorbeeld:
Call centers: oude windows software waarbij de gebruiker die een telefonisch gesprek moet voeren wel soms 5 tot 10 verschillende applicaties moet gebruiken. En veel te veel tijd kwijt is aan omslachtigheden. Totaal niet efficiŽnt, niet productief en zeker niet bevorderend sterker nog het is om te janken in wat voor verschrikkelijke omgeving die moeten werken. Dat is echt een voorbeeld waar het hele management faalt.

Ander voorbeeld:
Een uitzendbureau die nog met CRT monitoren werkt en verouderde MS Office pakket en daarbij wel bijna een half uur bezig is om een pdf bestandjes netjes in een word document te plakken om vervolgens per mail te kunnen verzenden. Dat vind ik echt triest om te zien.

[Reactie gewijzigd door BoringDay op 29 maart 2012 00:31]

IE6 is toch eigenlijk heel simpel weg te werken. Het probleem is dat men vaak het niet wil en bij verouderde technieken willen blijven en niet verder dan Microsoft willen kijken.
Alsof IE8/IE9/IE10 opeens veilig is...
En verder is het punt juist dat men wŤl met nieuwe technieken wil meelopen - nog voordat die veilig zijn! Men wil helemaal niet bij verouderde technieken blijven. Men wil steeds meer functionaliteit, snelheid en mogelijkheden. Wie niet. Het punt is juist dat al die technieken op de markt komen en gebruikt worden, terwijl die technieken helemaal niet veilig zijn.
En verder heeft de doorsnee-gebruiker, -werknemer, manager/ICT-coŲrdinator helemaal niet zoveel keuze - de overgrote meerderheid van alle bekende software werkt uitsluitend met Windows. De keuze is dan al snel (hťťl snel) gemaakt bij de directie, managers en coŲrdinatoren. De werknemers hebben zelf geen keuze. En om thuis compatible te zijn heb je daar ook Windows.
En dan helpt 't niet als er een paar tweakertjes zijn die procentueel gezien maar 1% van de bevolking uitmaken, andere keuzes kunnen maken.
Er is pas enige beweging in de markt te verwachten als de volledige overheid het goede voorbeeld geeft en tot in detail open source gebruikt.

[Reactie gewijzigd door kimborntobewild op 1 april 2012 21:47]

Dan snapt er eentje het en dan gaat ie weg. Ik gok dat de reden ook is waarom ie weg gaat. Allemaal strikte onzin regeltjes die daar in werking zijn waarschijnlijk.
Grappig is dat eigenlijk. Halen ze weer een keer een heel botnet uit de lucht of arresteren ze een groep hackers, meteen moord en brand dat ze de regeltjes hebben overtreden en dat mogen ze niet doen.
MU was nu niet bepaald een botnet of een groep hackers, ze opereerden hoogstens in een wettelijk grijs gebied
dat heet kritiesch zijn en dat kan dan ook een waarschuwing zijn voor de volgende keer
Let er ook even op dat meneer vertrekt bij de FBI om bij een prive-onderneming te gaan werken die "surprise surprise" in de veiligheidsbranche bezig is. Beetje wij van WC eend verhaal... het zal overigens tevens waar zijn, daarnietvan, kan ook niet anders.
Let er ook even op dat meneer vertrekt bij de FBI om bij een prive-onderneming te gaan werken die "surprise surprise" in de veiligheidsbranche bezig is.
Dat is weinig bijzonders. Vrijwel iedereen die vertrekt bij de FBI gaat in de private sector werken, vrijwel altijd in iets wat in het verlengde ligt, of aansluitend is, op wat ze bij de FBI al deden. (FBI -> staat goed op je CV)
Propaganda om Obama weer een andere privacy schendende "bill" te laten tekenen zonder jaren lobbyen, is all.
Dat is toch pure onzin het internet is zo lek als wat en er is bijna geen bedrijf die veiligheid op orde heeft. Daarbij is Windows gewoon een gaten kaas ... dus daarmee red je nooit een hoog niveau van veiligheid.

Het zou in feite al niet zo moeten zijn je zoveel met een OS bezig moet zijn om veiligheid te kunnen garanderen. Dan is het beter om over te stappen op een systeem die het eenvoudig toelaat.

[Reactie gewijzigd door BoringDay op 28 maart 2012 18:34]

De topman claimt dat zowel de technologie als het gedrag moet veranderen
Is dit een weer verkapte uitspraak om te rechtvaardigen dat de rechten in de toekomst verder worden ingeperkt?

Net zoiets dat er tegenwoordig een grote terroristische dreiging is. Dit wil je toch niet?
We perken wat vrijheden in omdat we anders de veiligheid niet kunnen garanderen.

Iedereen die hier tegen is , is een dreiging.

[Reactie gewijzigd door PBloem op 28 maart 2012 12:51]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True