'Ict-beveiligers lopen achter op hackers'

Op dit moment zijn hackers van ict-systemen verder gevorderd dan de beveiligers tegen digitale aanvallen. Dat zegt topman Art Coviello van beveiligingsbedrijf RSA in een interview met Tweakers. "We hebben ons niet snel genoeg ontwikkeld", aldus Coviello.

Art Coviello De capaciteiten van aanvallers hebben zich sneller ontwikkeld dan ict-beveiligers, stelt RSA-topman Coviello "Er is een technology gap ontstaan tussen de kwaliteiten van de hackers en de technologie die er is om systemen tegen hen te beschermen", zegt Coviello. "We moeten ervoor zorgen dat dat gat wordt afgedicht."

Volgens de topman is de potentiële kwetsbaarheid van ict-systemen de afgelopen jaren enorm toegenomen, onder meer omdat organisaties in toenemende mate leunen op webapplicaties en dankzij het toegenomen gebruik van mobiele apparaten. Tegelijkertijd nam ook de technische kennis van hackers flink toe. Volgens Coviello is de beveiligingsindustrie niet snel genoeg mee geëvolueerd. "Maar ik zie daar nu verandering in komen en wij proberen daarin voorop te lopen", aldus de topman.

De topman kan er over meepraten dat de technische kennis van hackers is toegenomen: twee jaar geleden wisten aanvallers in te breken op systemen van RSA, waarbij ze informatie over de werking van SecurID-sleutelgenerators buitmaakten. Die generators worden gebruikt voor two-factor-authenticatie, waarbij een gebruiker bij het inloggen niet alleen een wachtwoord moet invoeren, maar ook een unieke code die door een speciaal apparaatje of een applicatie wordt gegenereerd. De aanval op RSA zou zijn gebruikt als 'springplank' om andere bedrijven te kunnen aanvallen. Uit voorzorg verving RSA talloze SecurID-sleutelgenerators, wat het bedrijf tientallen miljoenen dollars heeft gekost.

Volgens Coviello wordt het tijd dat de overheid zich actief gaat bemoeien met de bestrijding van cybercrime. Nu wordt internetcriminelen geen strobreed in de weg gelegd, stelt hij. De RSA-topman denkt dat het delen van meer informatie tussen bijvoorbeeld internetproviders en overheden kan helpen om het probleem aan te pakken. Dat kan inbreuk maken op privacy van internetgebruikers, maar Coviello stelt dat diezelfde privacy ook in het geding is als kwaadwillenden er inbreuk op maken. "Privacybewegingen maken zich zorgen om de bescherming van burgerrechten. Dat snap ik, maar moeten ze zich ook niet zorgen maken om de internetcriminelen die die rechten met voeten treden?"

Tegelijkertijd vindt Coviello niet dat overheden zelf voor aanvaller moeten gaan spelen. Hij denkt dat landen zouden moeten afspreken om elkaars ict-systemen niet aan te vallen, bijvoorbeeld via de Verenigde Naties of de Wereldhandelsorganisatie. "We moeten ervoor zorgen dat overheden om tafel gaan en dit oplossen", zegt hij. Hij pleit voor een internet-equivalent van het non-proliferatieverdrag, waarbij landen beloofden de verspreiding van kernwapens tegen te gaan.

Reacties (71)

tommieonos 1 maart 2013 08:02

Een hacker heeft genoeg aan één exploit, de developer moet ze allemaal zien te vinden

albatross @tommieonos • 1 maart 2013 08:37

Een hacker heeft genoeg aan één exploit, de developer moet ze allemaal zien te vinden

Inderdaad. Goede observatie.

Bovendien kost het actief zoeken naar mogelijke exploits veel extra geld (voor iets waavan je, in de ogen van management, de noodzaak pas aantoonbaar gemaakt heb wanneer het kalf verdronken is).

Don Quijote 1 maart 2013 07:52

Daar ik zelf werkzaam ben in de branche, kan ik wel een heel eind meegaan met wat Coviello zegt. Je hebt vaak het gevoel achter de feiten aan te lopen, en bent veel vaker reactief bezig dan wat je eigenlijk zou willen zijn, proactief. Nu vind ik niet dat dit voortkomt uit laksheid, maar het is simpelweg bijna niet bij te houden om je alle nieuwe kennis eigen te maken.

Eagle Creek

@Don Quijote • 1 maart 2013 08:20

Ik sluit me bij jou aan. Er zijn zeker wel partijen/bedrijven die echt hun best doen om de digitale beveiliging op orde te hebben. Het blijft echter maar een klein onderdeel van de gehele bedrijfsvoering en voor een crimineel (al dan niet: criminele organisatie/grootheid/overheid) misschien wel een zeer groot percentage van zijn "werkzaamheden". Er zijn genoeg knappe koppen die hun kennis voor minder goede dingen gebruiken.

Het reactief - proactief gedeelte is ook iets waar je in de mentaliteit van mensen verandering in ziet gaan komen. Alleen dat is geen slag die je binnen een maandje kan maken. Enerzijds ben je als "gewoon" bedrijf vaak afhankelijk van de technieken die op de markt worden aangeboden (je maakt immers niet je eigen IPS maar je koopt er een van een bedrijf waarvan je hoopt dat zij de meest vooraanstaande en effectie technieken gebruiken) en anderzijds wordt de discussie omtrent pro-actieve bescherming toe te passen (denk bv aan preventief hacken / terughacken (niet zozeer ter vergelding maar om een nieuwe aanval te voorkomen)) druk gevoerd. Dit neemt echter zonder twijfel allemaal nieuwe dilemma's met zich mee.

Tot slot zie je dat samenwerking absoluut een must is. Om maar een voorbeeld te noemen: als bepaalde technieken voor sabbotage en spionage steeds geavanceerder worden, is de traditionele bescherming niet meer afdoende. Je kunt een botnet bv wel opsporen op basis van patroonherkenning, maar wil je een goed geconfigureerd botnet kunnen herkennen zul je heel veel data moeten analyseren om deze patronen daadwerkelijk te kunnen filteren uit de ruis. Heel veel data vind je niet op MKB-niveau en misschien zelfs niet eens op corporateniveau maar wellicht pas op providerniveau (of in ieder geval daartussenin). Daarnaast is het eenvoudigweg delen van kennis over recente ontwikkelingen, aanvallen en technieken zeer waardevol.

[Reactie gewijzigd door Eagle Creek op 26 juli 2024 04:50]

SPT @Eagle Creek • 1 maart 2013 08:44

Het probleem is denk ik dat een hacker een specialist moet zijn, terwijl de ict-ers aan de beveiligingskant generalisten moeten zijn. Een hacker kan immers zonder probleem honderden uren steken in slechts één of enkele kwetsbaarheden, en zijn exploit perfectioneren. Eén goed werkend exploit is immers voldoende. Mensen die de ict infrastructuur van een organisatie bewaken moeten rekening houden met een enorme diversiteit aan mogelijke explooits en moeten hun kennis - zelfs als die nog zo groot is - verdelen over tal van mogelijke beveiliigingsproblemen.

De beveiligingskant loopt dus denk ik vooral op achter door een informatieachterstand (ze weten simpelweg niet uit welke hoek de eerstvolgende aanval zal gaan komen), niet doordat ze niet snel genoeg kennis opdoen.

SirBlade @SPT • 1 maart 2013 09:29

Nog een veel groter probleem: Beveiligers moeten niet alleen die 100 uur verdelen over vele systemen/producten, ze zijn ook het grootste deel van hun tijd kwijt aan bureaucratie. Hackers hoeven zich niet aan regels te houden. En zolang bij grote organisaties bureaucratie belangrijker is dan beheer zullen hackers altijd blijven winnen. Lang leve ITIL

-Tom @SirBlade • 1 maart 2013 10:01

'Bureaucratie' heeft ook een zeker doel. Door een gebrek aan 'bureaucratie' (lees: controle) liggen er bv. op het moment geen Zweedse gehaktballetjes meer bij de Ikea. Niet een ramp van wereldproporties; maar je begrijpt het idee hopelijk.

Criminelen, en met name criminele organisaties, hebben (bijna) altijd de cutting edge. Natuurlijk bedenken we steeds meer geavanceerde technieken om onzelf te beschermen tegen criminelen. Deze nieuwe technieken zorgen echter ook voor meer potentiële openingen voor criminelen.

Criminaliteit kan enorm lucratief zijn. Het vervelende is alleen dat je er mogelijk een straf aan over houdt. Dit is echter wél een goede motivatie om er 'verdomd goed' in te worden. Je wil als crimineel immers niet gepakt worden, en wanneer je slaagt heb je direct een flinke buit te pakken. Dit zorgt ervoor dat er binnen de criminaliteit een flinke innovatiedrang is.

Een mooi voorbeeld hiervan zien we in Mexico, waar een drugskartel een eigen encryped radionetwerk voor communicatie heet opgezet. Het voordeel; ze spelen niet naar de regels. Waardoor ze altijd een stap voor zijn op de tegenpartij.

Bunga @SPT • 1 maart 2013 13:49

In IT wordt beveiliging gemaakt waarvan gedacht is dat die niet te breken is. Dan vindt een hacker toch een manier en wordt de beveiliging verbeterd. Het is dan toch normaal dat we voortdurend achter de hackers aanlopen?

Het enigste wat de industrie kan doen is andere manieren van beveiliging ontwikkelen maar ook dat gebeurt en toont aan dat het niet 100% sluitend is.

Het is puur een wedstrijd in creativiteit en energie.

Verwijderd @Eagle Creek • 1 maart 2013 09:24

@Eagle creek:
Er zijn genoeg knappe koppen die hun kennis voor minder goede dingen gebruiken.

Helemaal waar, en zo lang als de straffen in de EU daarop zeer sterk lonen (als iemand al gepakt word) blijf je achter de feiten aanlopen. De EU straft vnl. per feit, de VS prop. per schade.

Technologische achterstand + lage pakkans + mini strafjes + bijna geen opsporing = Bingo !

Zoals het nu is loopt de financiele schade door dit soort fratsen wereldwijd al op richting onbeheersbaar. Zelf heb ik sterk het vermoeden dat we over niet al te lange termijn gaan meemaken waartoe dit soort gebrek aan controle over eigen netwerken ook nog kan leiden. En dan heb ik het niet meer over financiele schade.......

po1son 1 maart 2013 07:48

Is dat niet het hele punt van hacken? Dingen ontdekken waar de developers overheen hebben gekeken?..
Ik denk dat als een hacker achter de beveiliging aanliep dat het dan geen hacker meer zou zijn,

S8472 @po1son • 1 maart 2013 09:29

ICT is inmiddels een volwassen branche / product.

Auto's ondergaan een typekeuring voordat ze de weg op mogen. Elektrisch aansluitmateriaal moet een KEMA-keur hebben. supermarktweegschaaltjes, benzinepompen, flitspalen, gokkasten - allemaal moeten die een typekeuring ondergaan voordat ze gebruikt mogen worden. Er is een waslijst aan eisen waar een huis aan moet voldoen. En drinkwater. En kinderspeelgoed. Voor elektronische apparatuur zijn er o.a. EMC-eisen.

En software? Daarvoor zijn disclaimers!

Ik denk dat het tijd is dat software m.n. door overheden als een volwassen produkt wordt beschouwd. Lekke ICT is van een hobby-ongemak gegroeid naar een bedrijfseconomische kostenpost naar een maatschappelijk probleem, mogelijk zelfs maatschappelijk ontwrichtend.
En inderdaad, testen (en aansluiten fixen!!) is een kostenpost die geld en vooral time-to-market kost. En uitputtend testen... dat is zwaarwegende reden om de complexiteit zo veel mogelij kte beperken ;-)
Een bedrijf dat serieus met het vak bezig is, legt het af op prijs en snelheid. Grundlichkeit loont over een langere periode, langer dan waar de gemiddelde koper op wil wachten. Die (bij monde van afd. 'marketing') wil snel een nieuw feature, want dat levert extra efficiency / productie / plezier. 2 maanden later dan de concurrent direct iets goeds leveren is te laat. Eerder leveren en daarna patchen levert meer winst op.

Overheidseisen kunnen hier helpen. Verbied net zoals in andere markten het leveren van een produkt dat niet aan minimumeisen t.a.v. veiligheid voldoet. Wellicht volstaat de dreiging van boetes en hoeft er niet eens gekeurd te worden door een onafhankelijke instantie. Dan loont degelijkheid weer. Ja, kan zijn dat software duurder wordt of minder features zal hebben. Enig idee wat een serieuze hack jou of een bedrijf kost?

Ook al beloof je dat je heel voorzichtig zal rijden - met een auto met 2 defecte remmen mag je domweg de weg niet op. En dat is maar goed ook!

[Reactie gewijzigd door S8472 op 26 juli 2024 04:50]

themac1983 @S8472 • 1 maart 2013 09:56

Ik ken weinig auto's waarbij je bij een inbraak bij de fabrikant aan kunt kloppen om je schade te verhalen hoor

Sundog

@S8472 • 1 maart 2013 14:31

Overheidseisen kunnen hier helpen. Verbied net zoals in andere markten het leveren van een produkt dat niet aan minimumeisen t.a.v. veiligheid voldoet. Wellicht volstaat de dreiging van boetes en hoeft er niet eens gekeurd te worden door een onafhankelijke instantie. Dan loont degelijkheid weer. Ja, kan zijn dat software duurder wordt of minder features zal hebben. Enig idee wat een serieuze hack jou of een bedrijf kost?

Overheden stellen al eisen, denk aan opslag van persoons gegevens, veiligheids eisen voor infrastructuur systemen waar ICT een onderdeel is, etc. Alleen zijn die eisen niet technologie specifiek. Dat kan ook niet, omdat je anders elk technisch detail moet gaan beschrijven, en wetgeving werkt trager dan technische vooruitgang.
Daarnaast zijn er eisen voor ICT bij de overheid zelf, waarvan sommigen gebruikt worden als referentie standaard in het bedrijfs leven. (Denk bijv aan de eisen die de NSA aan encryptie stelt voor overheids systemen in de USA. )

Bovendien bieden overheids eisen geen enkele garantie op het uitblijven van "gaten". Om hetzelfde voorbeeld van een auto te gebruiken: ondanks alle eisen worden elk jaar duizenden autos terug geroepen vanwege mogelijk gevaarlijke defecten.

Met een auto met 2 defecte remmen mag je de weg niet op. Maar dat werkt alleen als de overheid de handhaving op zich neemt.
Als je stelt dat de overheid ook ICT moet keuren, dan ligt daar ook in opgesloten dat diezelfde overheid de middelen krijgt om dit te handhaven. Willen we dat echt?
Dat betekent dus ook dat je die overheid de controle geeft over zaken als het Internet, het web, etc....

S8472 @Sundog • 1 maart 2013 22:04

Overdrijven is ook een kunst! ;-)
Natuurlijk zijn "garanties" een illusie. Voor de duidelijkheid m'n post gaat niet over beveligingssoftware oid., maar aanhakend op het artikel, over software voor de gemiddelde consument. Desktop OS, browser, tekstverwerker mediaspeler e.d. Denk aan de recente lekken in Adobe Reader, Java.
De overheidseis die ik bedoel is in principe niet moeilijk: voor veel technische produkten bestaat al zoiets. Ga maar na: wat is het bestaansrecht van een keurmerk op elektrisch materiaal (ja, da's mijn vak ;-) ). Idem voor de typekeuring van auto's bij de RDW.
Of bijvoorbeeld voedselveiligheid. Zit ook een heel keurings en handhavingscircus achter. Nee niet perfect. Maar denk je eens in hoe het zou zijn zonder...

Van die defecte remmen is inderdaad een slecht passend voorbeeld. Beter is: een auto met maar 2 remmen (af fabriek) mag in NL de weg niet op.

Adimeuz @po1son • 1 maart 2013 07:56

Heb echter wel het gevoel dat het meerendeel van de hacks voortkomt uit "stomme" fouten in de code. Vooral in de webindustrie. De kunst is het juist om de hacker voor te blijven. Helaas kun je als webdeveloper weinig doen tegen een exploit in Adobe Reader bijvoorbeeld, tussen de verschillende niches beweegt de hacker zich.

Xieoxer @Adimeuz • 1 maart 2013 07:58

Dat klopt, deze "stomme" fouten zijn bijvoorbeeld SQL injectie.

prijswij @Xieoxer • 1 maart 2013 08:25

"Stomme fouten" is mijn inziens te groot.

Software wordt getest op "eigenlijk" gebruik. Dus werkt het zoals bedoelt en hoe het moet functioneren. hier en daar worden stress testen gedaan en dan houd het ook op.

Wat je eigenlijk zou moeten hebben bij een ontwikkeling is een tester die test (zoals nu) en en hacker die test hoe de software reageert op "oneigenlijk" gebruik, dus kan ik het systeem misbruiken voor andere doeleinden.

In het algemeen is testen al een ondergeschoven kindje, laat staan dat in het ontwikkel process een "hacker-proof-test" wordt opgenomen.

Uiteindelijk draait het om de te besteden tijd en euro's

the_stickie @prijswij • 1 maart 2013 08:39

software moet ook getest worden op oneigenlijk gebruik, net zoals andere producten.
Dat is zéker het geval
* als de veiligheid in het gedrang is
* als het product publiekelijk toegankelijk is

Electronica wordt zo gebouwd dat ze niet ontploft bij (bijv) een kortsluiting, auto's zo dat je overlevingskansen in een crash optimaal zijn, websites zo dat in het ergste geval zo weinig mogelijk schade mogelijk is, en software zo dat in geval van een malware de impact berperkt is...

...althans zo hoort het!

Keerzijde

@the_stickie • 1 maart 2013 09:24

Nee hoor!
Software moet getest worden tegen de opgestelde requirements.
Niet meer en niet minder.
DAT bepaalt namelijk de acceptatietest.

Bij beveiligings software, of systemen waarbij prive gegevens gemoeid zijn *zouden* dus in de requirements extra eisen mbt veiligheid opgenomenen moeten zijn.

Dus als iets niet getest is, stond het waarschijnlijk niet in de requirements.
"De klant" moet zich meer bewust worden van het feit dat hij ook moet specificeren wat er met een systeem NIET mogelijk moet zijn.

Maar ja.... bij het specificeren worden de meeste fuck-ups gemaakt

Croga

@Keerzijde • 1 maart 2013 09:52

"De klant" heeft geen flauw benul van beveiliging dus "De leverancier" moet hem daarin instrueren.

De klant moet zich ook helemaal niet druk maken om dat soort dingen. Die moet zich druk maken om functionaliteit; datgene wat hem waarde oplevert. Degene die dat voor hem realiseert moet met de klant praten over beveiligingsniveaus en de klant daarna laten beslissen welk niveau van beveiliging het geld waard is. Dat niveau moet daarna onderdeel zijn van de acceptatie maar alleen als abstractie; de details van de implementatie moet de klant zich helemaal niet druk over hoeven te maken.

En daarom dat bij ieder project een beveiligings specialist betrokken zou moeten zijn: Eerst om samen met de klant het benodigde niveau vast te stellen, vervolgens om dat richting de ontwikkelaars duidelijk te maken en als laatste om het te toetsen.

In Scrum termen: Security is geen user story, het is onderdeel van de Definition of Done!

Jeroen V @Keerzijde • 1 maart 2013 10:43

Ik ben het Croga eens, als IT bedrijf zal je een klant daarvan bewust moeten maken. Tenzij je het over beveiligingssoftware hebt valt beveiliging/security al snel onder de Non Functional Requirements, en je moet je klant helpen om dat in kaart te brengen.

Als de klant dan niet wil en bewust ervoor kiest om bepaalde dingen niet te doen, ok dat kan, maar je zal wel moeten proberen om je klant op te voeden.

Nystran @Keerzijde • 1 maart 2013 10:55

Keerzijde schreef:
"Nee hoor!
Software moet getest worden tegen de opgestelde requirements."

Met deze zin worstel ik als tester elke dag. Als systeemtester bij multinationals kon ik hiermee weg komen, en meestal geheel objectief blijven.

Maar ga je naar acceptatie testen, usability testen en security testen, dan wordt testen meer een kunst: hiervoor zijn niet standaard specificaties beschikbaar, als je geluk hebt wel richtlijnen, maar soms ben jij (zeker in het MKB) als tester/developer eerste die over de inhoud hiervan nadenkt.

In zo'n geval komt het aan op je eigen kunnen, inzicht en vaardigheden (en bij Security zeker: ken de grenzen van je vaardigheden, en vraag een expert om hulp).

divvid @Keerzijde • 1 maart 2013 13:51

Mijn vader kreeg altijd een raar gezicht van het management als hij in de requirements het zinnetje opnam:

'het geleverde werk moet getuigen van goed vakmanschap'.....totdat het enkele miljoenen schade voorkwam.

Dit geldt ook voor software bouwers, goed vakmanschap bestaat ook uit het leveren van veilige code en ook als de req's er niet specifiek naar vragen MOET dit getest worden. Je wilt toch niet dat de klant gaat rondbazuinen dat je onveilige code hebt geleverd???

Croga

@divvid • 1 maart 2013 22:00

'het geleverde werk moet getuigen van goed vakmanschap'

In mijn vorige project was één van de requirements "We mogen er niet mee in het nieuws komen"

Inny @the_stickie • 1 maart 2013 09:13

Ik denk dat jij en ik wel snappen waarom de topman van een beveiligingsbedrijf wil dat hacken zo illegaal mogelijk gemaakt wordt zijn werk hem zo makkelijk mogelijk gemaakt wordt zodat hij zo min mogelijk hoeft te investeren en het minste risico loopt.

Ik denk dat de wetgeving er goed in moet worden zien om (internet) criminelen aan te pakken, maar het tegelijk goed mogelijk moet maken (evt. onder een vorm van toezicht of bepaalde voorwaarden) voor whitehat hackers om kwetsbaarheden bloot te leggen.

Anders lopen we het risico weer gewoon terug bij af te zijn: veel kwetsbaarheden, niemand die het hoeft aan te pakken tot het weer eens goed mis gaat. Als voorbeeld: 'SQL injection' was al vele jaren mogelijk en een alom bekende kwetsbaarheid onder security experts en zelfs de developer communities voordat de media-hype er omheen ontstond doordat grote sites gehackt werden, en dankzij dat gegevens werden gepubliceerd.

roast @the_stickie • 1 maart 2013 09:13

Alleen is het moeilijk (zo niet onmogelijk) om een deftige coverage te hebben van oneigenlijk gebruik....
Eigenlijk gebruik zou als alles goed is moeten gedocumenteerd zijn (use cases, user stories, requirements ....) en kan bijgevolg dus ook getest worden aan de hand van de requirements.

Voor elke scenario van oneigenlijk gebruik dat iemand kan verzinnen, zijn er honderd mensen die er nog een bij kunnen verzinnen.

Dit neemt uiteraard niet weg dat wat verzonnen kan worden ook zou getest moeten worden en dat dat vandaag de dag niet altijd het geval is... testen kost ook geld...

Jeroen V @the_stickie • 1 maart 2013 10:45

@the_stickie: dat wordt ook door genoeg bedrijven gedaan... Google maar eens op pentest...

themac1983 @prijswij • 1 maart 2013 09:52

Sorry maar bij goede softwarehuizen is dit niet het geval, elke Webapp die wij maken voeren we ook diverse penitratietests op uit bijvoorbeeld. Dit doen we ook op websites die in ons beheer staan.

Dat de meeste grote bedijven geen goede softwareontwikkelaars zijn weten we ondertussen wel. (neem Adobe bijvoorbeeld, die kunnen niet eens een normale werkbare installer maken).

Het staat helaaas bij grote bedrijven niet bepaald centraal, die willen gewoon zo goedkoop mogenlijk zo veel mogenlijk software maken en dit zo duur mogenlijk verkopen.

Daarnaast is er nog het feit dat de meeste bedrijven geen idee hebben of ze gevoelige informatie hebben en denken dat al die "ict security" voor hun niet nodig is. Ze staan er niet bij still dat klantgegevens veel waard kunnen zijn. En dat gebruikers nog altijd veiligheidsprobleem nummer 1 zijn.

SuperDre @Xieoxer • 1 maart 2013 09:58

Tja, NU is SQL injection bekend als 'stomme fout', maar dat was een zwik jaren geleden niet, welke techniek die nu gebruikt wordt ontdekken we over enige tijd ook als 'stomme fout'...

Blokker_1999

Netwerk en systeembeheer
Beveiliging en antivirus

@po1son • 1 maart 2013 08:51

Uiteraard is dat het punt van hacken, maar ook van beveiligen. Je moet die fouten opsporen voordat kwaadwillenden er misbruik van maken. Alleen kan een hacker kiezen waar ie zijn tanden inzet, een werknemer in een beveiligingsbedrijf moet doen wat de baas hem opdraagt. Wanneer die bazen blind zijn voor nieuwe technologie krijg je dus gebieden waar men geen onderzoek op doet.

Faeron 1 maart 2013 08:26

De reden voor dit alles is als volgt. De computer is een complex apparaat. Vele softwarebedrijven hebben hun best gedaan om dit apparaat voor iedereen bruikbaar te maken wat goed gelukt is. Echter, dit neemt niet weg dat de computer nog steeds een complex apparaat is. Internet staat vol met informatie over het gebruik van de computer. Vele gebruiken deze informatie om meer over de computer te weten dan de gemiddelde gebruiker. Zelf je thuis netwerk aanleggen, eigen website maken, zelf een programma schrijven. Alles kan.

Maar omdat je thuis je netwerk kan aanleggen, maakt je dat nog geen netwerkbeheerder. Omdat je je eigen website kan maken, ben je nog geen webdesigner. En omdat je een eigen 'hello world' programma kan schrijven maakt je dat nog geen softwareontwikkelaar. Echter, helaas hebben veel van dit soort mensen een baan gevonden in de ICT. Netwerkbeheerder en softwareontwikkelaar zijn helaas geen beschermde titels.

Dit fenomeen zie je weinig in andere sectoren. Mensen hebben thuis geen rechtbankje om te oefenen om zich vervolgens advocaat te noemen. Mensen hebben thuis geen operatietafel waar ze kunnen hobby-en om zich vervolgens chirurg te noemen. Ik durf te stellen dat meer dan de helft van de ICT-ers niet geschikt is voor zijn of haar functie. Hier is als ICT-beveiliger niet tegenop te beveiligen. Want veel ICT-techneuten beschikken wel over de zogehete engineers-mindset, maar niet over de hackers-mindset. Ze weten hoe ze dingen werkend kunnen krijgen en denken vervolgens dat ze daarmee klaar zijn. Door de ontbrekende hackers-mindset zijn ze niet in staat om de boel ook nog eens veilig op te leveren.

Als ICT-beveiligingsadviseur kom ik dit iedere dag nog tegen tijdens mijn werk. Beheerders de laks omgaan met patches, webontwikkelaars die zelfs vandaag de dag nog nooit van SQL-injection hebben gehoord, beheerders die Windows machines zonder firewall aan het internet hangen, printers die open en bloot aan het netwerk hangen zodat de complete print-history in te zien is, managers die geen aandacht besteden aan beveiliging waardoor gebruikers ook niet alert zijn op wat ze doen. En dit zijn nog maar een paar dingen van de dagelijkse ongein die ik tegenkom.

Dat ICT-beveiligers achterlopen op de hackers wil ik dan ook niet tegenspreken. Sterker nog, ik wil het aanvullen: De gehele professionele ICT-wereld loopt achter op de hackers.

[Reactie gewijzigd door Faeron op 24 juli 2024 23:16]

Blokker_1999

Netwerk en systeembeheer
Beveiliging en antivirus

@Faeron • 1 maart 2013 08:57

Maar met rechter, advocaat of chirurg heb je het ook weer over speciale beroepen waar je eerst jarenlang zal mogen studeren en waar je je zal moeten bewijzen voor je mag beginnen.

Er zijn daarentegen heel veel praktische beroepen die mensen wel degelijk van thuis uit leren. Dat kan gaan van schrijnwerker, metser, metaalbewerking, trukchauffeur, ... . Allemaal beroepen waar vele gepassioneerde mensen in begonnen zijn toen ze nog te jong waren om het te professioneel te mogen doen.

En ja, er zitten in de ICT heel wat cowboys tussen. Vele bedrijven werven dan ook aan op de ervaring die je kan voorleggen en kijken niet alleen naar het diploma. Het is niet omdat je een diploma hebt in de ICT dat je goed bent in je job. Maar er zijn wel goede ICTers die nooit een ICT opleiding gehad hebben.

En beveiliging is ook niet altijd zwart/wit. Soms moet je risicos nemen om iets gedaan te krijgen. Aan de andere kant kan je de beveiliging soms ook zo opdrijven dat niemand nog iets gedaan krijgt.

themac1983 @Blokker_1999 • 1 maart 2013 10:22

Om beroepschauffeur te worden moet je toch echt een rijbewijs hiervoor halen, tegenwoordig is dit echt wel een opleiding te noemen. Als je Lasser wilt worden (en aangenomen) zul je ook wat certificaten gehaald moeten hebben om aan te tonen dat je weet waar je mee bezich bent.

Op het moment zitten er nog mensen in de IT die hiervoor NOOIT een papiertje gehaald hebben... 20 jaar terug waren ze hobbyist, de baas wou iets met data, waar iedereen bij moest en deze mensen konden dat wel neerzetten TADAA een netwerkbeheerder is geboren. Dit is niet iets wat je deze oude garde kwalijk kunt nemen. Ze zijn nooit bewust ICT-er geworden.Ze zijn er een beetje naartoe gegroeid vanuit hobbyisme.

De nieuwe garde moet gewoon beter weten, Ik ken nu geen bedrijven die een NetwerkBeheerder zonder minimaal CCNA aannemen bijvoorbeeld. En deze moet dan soms samenwerken met iemand die het verschil tussen en router en switch niet kan uitleggen maar wel al 20-30 jaar netwerkbeheer bij een bedrijf doet.

Mythio @themac1983 • 1 maart 2013 10:36

Zeker waar. ICT beveiliging is een specialisme, en zeker niet iets wat zomaar iedereen kan. Sterker nog, zelfs de meeste ICTers weten niet precies wat ze aan het doen zijn als het op beveiliging aankomt.

Dat wil niet zeggen dat deze ICTers de beveiliging niet goed kunnen organiseren, maar vaak zijn de netwerkbeheerders en systeembeheerders ook de parttime ICT beveiligings mensen, terwijl ze daar de benodigde kennis en ervaring niet altijd voor hebben.

Martao @Mythio • 1 maart 2013 13:43

Wat je zegt is wel waar, maar gaat andersom ook op.

Ik heb een tijd lang tweedelijns support en systeem beheer taken gedaan, gedetacheerd bij een aantal bedrijven/instanties. Al die certificeringen zeggen allemaal niet veel. Met gezond verstand en algemene ervaring kom je ook een eind. Ik ben dan ook van WO niveau, en dat geldt lang niet voor alle gecertificeerde IT-ers.
Dus: het is een combinatie van beiden. Maar iedereen moet het leren....

Anyway, wat erg belangrijk is, is dat je je beperkingen weet. Dus weet wanneer je gespecialiseerde hulp moet inroepen.

Grrrrrene

1 maart 2013 07:53

Ja gek he? Je kunt onmogelijk voorlopen op hackers. Er zijn zoveel exploits e.d. waar een hacker gebruik van kan maken, je kunt er een X-aantal op tijd fixen, maar er is altijd dat ene beveiligingslek waarvan je niet op de hoogte bent. Met andere woorden: tenzij je de beveiliging perfect regelt, heeft de hacker altijd een mogelijkheid om binnen te komen. Mensen die geen fouten maken bestaan niet, dus de hacker heeft altijd een kans en je loopt altijd de gaten die hij ontdekt te dichten.

Faeron @Grrrrrene • 1 maart 2013 08:41

Je beveiliging alleen richten op het voorkomen van een inbraak is niet slim. Je moet het aanvullen met maatregelen die de gevolgen van een inbraak terugdringen. 100% veilig kan inderdaad niet. Maar met gestelde acceptabele risico's zijn hackers prima tegen te houden. Informatiebeveiliging is niet zo moeilijk. Het is voor veel bedrijven in eerste instantie niet meer dan een kwestie van doen.

SuperDre @Faeron • 1 maart 2013 10:02

Informatiebeveiliging is niet zo moeilijk.

Stop maar met verder iets zeggen.... want je bent wel heel naief als je zo'n quote maakt.. Door het feit dat je informatie moet terug kunnen halen is het al meteen een heel moelijk probleem..

Gomez12 @Faeron • 1 maart 2013 18:03

Informatiebeveiliging is niet zo moeilijk.

Wellicht dat het voor een nih bedrijf met zijn eigengebouwde OS en dbase en webserver niet zo moeilijk is, maar in de normale wereld is het haast ondoenlijk.

Omdat de mens enkel weet wat hij wil, hij weet niet wat hij niet wil.

themac1983 @Grrrrrene • 1 maart 2013 10:08

Zolang er nog SQL injecties gebruikt worden om sites te hacken is dit echt geen geldig excuus.

Dat je niet op de hoogte bent van Zero Day Exploits snapt iedereen wel. En dat er altijd veiligheidslekken zullen zijn is ook niet moeilijk voor te stellen, maar als je als bedrijf bewust verouderde java versies gebruikt, websites sinds 2000 niet geupdate hebt etc... dan kun je ECHT WEL gaten dichten zonder hier jaren werk in te stoppen.

Helaas is het bovenstaande nog altijd iets dat te vaak voorkomt.

Mythio @themac1983 • 1 maart 2013 10:29

Dat is echter niet helemaal waar. Ik heb meerdere jaren in IT beheer gewerkt en het updaten van programma's/infrastructuur en andere IT gerelateerde zaken (zoals veiligheidsprocedures en dergelijke) is niet een kwestie van "dat doen we even".

Neem bijvoorbeeld het uitrollen van anti-virus updates. Er zijn genoeg voorbeelden bekend waarbij de updates ervoor zorgen dat programma's niet meer functioneren. Er zijn zelfs gevallen waarbij een complete infrastructuur platgelegd wordt door een update. Het gevolg hiervan is dat updates getest moeten worden, iets waar niet altijd tijd en geld voor is. Daarnaast betekent dit per definitie dat je achterloopt met je updates.

Het updaten van IT omgevingen is een moeilijk probleem in een business setting. Voor een huis/tuin/keuken computer is dit een stuk eenvoudiger, omdat de afhankelijkheden een stuk gelimiteerder zijn.

Chromanin 1 maart 2013 08:00

is dat niet hetzelfde? hacker en security expert?

Carharttguy @Chromanin • 1 maart 2013 08:50

Vroeger was dat inderdaad wel zo. Maar die termen zijn vervaagd, dus je echt vasthouden aan hacker = goed, cracker = slecht, heeft niet echt zin meer. Vroeger was dat waar, nu niet meer, dus je maakt jezelf erg onduidelijk als je het nog zo blijft toepassen.

Bij ons spreken lectoren van webbeveiliging en computercriminaliteit zelf al over hackers, ook al bedoelen ze blackhats.

ameesters @Carharttguy • 1 maart 2013 09:20

Sorry hoor, maar in de cultuur waar ik zit(linux/unix development) zijn hackers gewoon mensen die met creative oplossingen komt, waar andere op stuk lopen, en heeft niks te maken met cracker zijn...

Misschien volgende keer even jouw lectoren van webbeveiliging en computercriminaliteit even dit stuk laten lezen, geschreven door Eric Raymond(oa de schrijven van "The Cathedral and the Bazaar")

http://www.catb.org/~esr/faqs/hacker-howto.html
en ook deze:
http://www.catb.org/~esr/...story/hacker-history.html

Deze meneer heeft toch aan de geboorte-wieg van de hacker culture gestaan, en het zou gewoon stom zijn om te beweren dat die ongelijk heeft.

Of anders even een stuk van Richard Stallman, de maker van GNU:
http://stallman.org/articles/on-hacking.html
of nog beter:
http://www.gnu.org/philosophy/rms-hack.html

Tevens ook iemand die erg veel heeft bijgedragen aan de hacker community...

Kan je wel beweren dat het "lang niet meer zo is", maar dan zit je zeker fout, en al die hipster lectoren ook!

Get your facts straight!

PS) Wel erg slecht dat tweakers ook het woord hacker misbruikt

Edit 1: interview toegevoegd.

[Reactie gewijzigd door ameesters op 25 juli 2024 20:34]

Carharttguy @ameesters • 1 maart 2013 09:37

Ik geef jou gelijk hoor, maar het gaat ook maar om een woord, het is de lading die telt. En als 99% van de mensen onder het woord 'hacker' een criminele computerinbreker verstaat, is het misschien geen slecht idee om dat woord ook zo te gebruiken, en niet de purist met definities te zijn.

Maar opnieuw, ik ben me bewust van het verschil, en als ik tegen mensen praat waarvan ik 100% zeker weet dat ze de juiste betekenis kennen, zal ik deze ook gebruiken.

ameesters @Carharttguy • 1 maart 2013 09:41

ik zou eerder mensen voorlichten ipv van het gewoon te accepteren, ik word er een beetje moe van om telkens raar aangekeken te worden zodra ik begin over hacken e.d...

Carharttguy @ameesters • 1 maart 2013 12:01

Ik vrees dat je als minderheid nooit mensen gaat kunnen voorlichten als de media constant het tegenovergestelde staat te verkondigen. Maar goed, we wijken af.

Martao @ameesters • 1 maart 2013 13:37

Ja, want die mini-community waar in jij je begeeft bepaalt de betekenis van een Nederlands woord? Je bent wel heel naïef als je dat denkt. Taal wordt bepaald door de sprekers er van, dus door de meerderheid. Taal is niet een statisch iets, taal is in beweging (evolutie). Het lijkt me dus verstandig om daarin mee te gaan in plaats van statisch ergens aan vast te houden, hetgeen je wellicht een verkeerde reputatie kan geven. Dat is denk ik wel een onderdeel van het feit dat deze branche (op sociaal vlak) een slechte naam heeft.

Kortom: ook ik begrijp dat er verschil is, maar het grote publiek niet. En die wordt gevoed door de berichtgeving in de media. Ook op Tweakers wordt volgens mij het woord hacken of hacker gebruikt als het gaat om de vele inbraken waar persoonsgegevens zijn buitgemaakt.

sfranken @ameesters • 1 maart 2013 09:40

De betekenis van het woord "hacker" is per situatie anders. In de Linux/unix werld heb je gelijk maar in de web/software wereld is het inderdaad iemand die zich "oneigelijk toegang tot een geautomatiseerd systeem probeert to te eigenen", of dat voor goede of kwade doeleinden is word niet gespecificeerd, daar heb je white-, gray-, of blackhat weer voor.

ameesters @sfranken • 1 maart 2013 09:52

nee, hackers === hackers, maakt niet uit in welke context...

Voor mensen die zich zelf oneigelijk toegang tot een geautomatiseerd systeem probeert te verschaffen denk de term "Cracker" heel mooi de lading.

Verwijderd @ameesters • 1 maart 2013 12:29

Persoonlijk ben ik het totaal niet eens met het gedachtengoed van RMS, maar wat betreft de herkomst van de term hacker heb je zeker gelijk.

De waarheid moet je niet verwarren met de mening van de meerderheid is een bekende uitspraak. Voor veel zaken is dat inderdaad zo maar met termen en woorden helaas niet.

Woorden en termen die maar bedacht zijn en van een mening "x" voorzien zijn geen absolute waarheden en dus aan verandering onderhevig. En hier geld (vaak helaas) wel het recht van de meerderheid.

Als de hele wereld "hacker" ziet als iets anders dan hoe de term "hacker" ooit bedoeld is dan kan je praten als brugman.

Een beetje zoals RMS tot in den treure Linux, GNU/Linux blijft noemen.
Hij heeft gelijk, maar het heeft echt geen zin meer, want niemand doet het.

ameesters @Verwijderd • 1 maart 2013 12:36

jammer dat ik reacties op eigen reacties niet mag modereren, anders had je een +2 gehad...

Toch blijf ik vasthouden aan mijn overtuigingen en principes, wat zijn die anders nog waard?

ShellGhost 1 maart 2013 08:01

Ik kan me herinneren dat er van de week nog iemand meester was in het in trappen van open deuren.
Deze past zeer mooi in de categorie.

ameesters @ShellGhost • 1 maart 2013 09:30

toevallig dat artikel over wikipedia? Daarvan had ik ook zoiets van "no sh!t sherlock!"

[Reactie gewijzigd door ameesters op 26 juli 2024 04:50]

MrAndy9797 1 maart 2013 08:07

Je moet eerst fouten maken of dingen vergeten voordat de hackers er misbruik van kunnen maken. Logisch toch?! Hackers will always win!

ameesters @MrAndy9797 • 1 maart 2013 10:46

Je moet eerst fouten maken of dingen vergeten voordat de hackers er misbruik van kunnen maken. Logisch toch?! Hackers will always win!

Nee hoor, je kan ook slachtoffer worden van een zogehete 0-day attack, en dat heeft niks te maken met zelf fouten maken of iets vergeten....

Moonsurfer_1 1 maart 2013 08:29

Al die praat in Amerika rond het delen van informatie met de overheid en hiermee privacy te negeren maakt mij toch een beetje bang.

ook springt meteen de volgende bekende oude spreuk van Benjamin Franklin in mijn hoofd: "he who'd trade liberty for temporary security deserves neither liberty nor security "

albatross 1 maart 2013 08:48

Tegelijkertijd vindt Coviello niet dat overheden zelf voor aanvaller moeten gaan spelen. Hij denkt dat landen zouden moeten afspreken om elkaars ict-systemen niet aan te vallen

Tja, net zoals we met elkaar, op de Geneefse Conventie, hadden afgesproken: Ambulances and military hospitals shall be recognized as neutral, and as such, protected and respected by the belligerents as long as they accommodate wounded and sick. Maar die gaan er, in de praktijk vaak het eerste aan. Nee, niet echt netjes, natuurlijk. Maar van dit soort "Security thru promises" ben ik niet echt onder de indruk.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (71)

Sorteer op:

Weergave: