Poll
DigiNotarFail
Het belangrijkste dat afgelopen week is aangetoond in het debacle rond ssl-autoriteit DigiNotar is:
- dat een veilig internet een utopie is
- 33,5%
- dat overheid en ict-veiligheid geen match made in heaven is
- 23,8%
- dat Pr0d@dm1n niet echt een sterk wachtwoord is :P
- 16,4%
- dat ssl-certificaten hun langste tijd hebben gehad
- 12,1%
- dat er een meldplicht moet komen voor hacks en datalekken
- 10,5%
- dat hackers steeds meer politieke invloed hebben
- 3,7%
Aantal stemmen: 11.715. Deelname gesloten op 28-09-2011 11:02. Stemmen is niet meer mogelijk.
Reacties (40)
Interessant dat (op dit moment) 28,3% roept dat overheid en ict-veiligheid geen match is. Dit terwijl de overheid hierin klant is; het gaat hier om falen van een privaat bedrijf, waar de overheid slachtoffer van is.
Bij hacks bij creditcard maatschappijen ga je toch ook niet roepen dat mensen niet met creditcards kunnen omgaan...
Bij hacks bij creditcard maatschappijen ga je toch ook niet roepen dat mensen niet met creditcards kunnen omgaan...
:strip_exif()/u/90271/amdx2.gif?f=community){kind=small}
Ik begrijp er ook niets van, op het moment dat de overheid te bashen is, wordt het ook gelijk gedaan, terwijl het grote falen bij het bedrijfsleven zit.
Overheid is inderdaad alleen maar klant....
.
Overheid is inderdaad alleen maar klant....
.
[Reactie gewijzigd door _root op 24 juli 2024 05:08]
Ja maar een klant heeft dan ineens geen verantwoordelijkheid ? , kom op zeg , een hack bij een bedrijf die jouw iets levert en jij roept zelf ook maar nee hoor ze zijn te vertrouwen om dat ze het zeggen betuigd nu niet echt van verantwoord selectief kiezen van een zaken partner.
Bij het woord hack had de overheid gelijk de Certificaten in moeten trekken , het is hun plicht om de burger te beschermen en niet andersom , dat heet nu verantwoordelijkheid ook al gaat er iets mis bij een leverancier van een dienst die buiten hun schuld valt , uiteindelijk levert de overheid de dienst naar de klant ( de burger ) , als je niet kan inschatten wat een hack teweeg brengt dan haal je om de burger te beschermen de boel offline , of je heb een noodplan ( die er niet is ).
Bij het woord hack had de overheid gelijk de Certificaten in moeten trekken , het is hun plicht om de burger te beschermen en niet andersom , dat heet nu verantwoordelijkheid ook al gaat er iets mis bij een leverancier van een dienst die buiten hun schuld valt , uiteindelijk levert de overheid de dienst naar de klant ( de burger ) , als je niet kan inschatten wat een hack teweeg brengt dan haal je om de burger te beschermen de boel offline , of je heb een noodplan ( die er niet is ).
[Reactie gewijzigd door wow7 op 24 juli 2024 05:08]
Tuurlijk is dit het falen van de overheid. Ze kiezen die bedrijven echt niet objectief (=naar vakbekwaamheid), maar luisteren naar ambtenaren die contacten hebben bij de bedrijven en bevelen dat bedrijf aan puur vanwege het contact. de overheid bepaalt dan of het bedrijf in het kostenplaatje past en kiest dat vervolgens zonder uitgebreid vooronderzoek te doen.
Niet om het een of ander, maar overheden moeten dit soort zaken aanbesteden. Het heeft dus niks te maken met de contacten die een ambtenaar heeft met een bedrijf.
En bij een openbare aanbesteding kan iedereen zich inschrijven en wanneer zij aan alle gestelde criteria voldoen en daarnaast de goedkoopste zijn, dan win je de aanbesteding.
Dit is dus geen falen van de overheid, maar een falen van een privaat bedrijf.
Wel valt de overheid te verwijten dat ze te laat gereageerd hebben. Wat ik van het verhaal begrepen heb is dat de overheid al langer wist dat DigiNotar gehackt was, maar daar dus niet op gereageerd heeft. En Microsoft vervolgens vragen de patch voor IE in Nederland uit te stellen vind ik persoonlijk belachelijk.
En bij een openbare aanbesteding kan iedereen zich inschrijven en wanneer zij aan alle gestelde criteria voldoen en daarnaast de goedkoopste zijn, dan win je de aanbesteding.
Dit is dus geen falen van de overheid, maar een falen van een privaat bedrijf.
Wel valt de overheid te verwijten dat ze te laat gereageerd hebben. Wat ik van het verhaal begrepen heb is dat de overheid al langer wist dat DigiNotar gehackt was, maar daar dus niet op gereageerd heeft. En Microsoft vervolgens vragen de patch voor IE in Nederland uit te stellen vind ik persoonlijk belachelijk.
:strip_icc():strip_exif()/u/140051/BSOD.jpg?f=community){kind=small}
en dat is anders bij het bedrijfsleven... denk je dat mijn baas altijd een gedegen voor onderzoek doet... neeej hoor, gewoon kijken naar wat marketing praatjes, stelt wat vragen over eventuele support (dat dan nog wel) maar verder........ die problemen zoals diginotar ze kan veroorzaken krijgen normale systeembeheerders dagelijks op hun bord (al is het misschien op kleinere schaal)..
:strip_icc():strip_exif()/u/26689/cptstubing2.jpg?f=community){kind=small}
Tja zo kan je alles krompraten wat recht is. Diginotar is een privébedrijf welke zijn fouten niet tijdig onderkent en zelfs een tijd ontkent heeft en dat is de schuld van de overheid die daar klant is en de ambtenaren die bij die overheid werken? Kom op superaki, niet alles is de schuld van de overheid...
[Reactie gewijzigd door petturik op 24 juli 2024 05:08]
Maar wel opvallend dat het keer op keer mis gaat wanneer de overheid een privaat bedrijf kiest. Of de kosten worden veel te hoog, of het systeem is niet veilig.
/u/286700/avatar_916e23a12c4e_128.png?f=community){kind=avatar}
Mompelt iets over de OV-chipkaart hack en de reacties van TLS, zeer goed te vergelijken met DigiNotar nu.Maar wel opvallend dat het keer op keer mis gaat wanneer de overheid een privaat bedrijf kiest. Of de kosten worden veel te hoog, of het systeem is niet veilig.
Ik heb gestemd op: dat er een meldplicht moet komen voor hacks en datalekken.
Natuurlijk is het vanuit PR-oogpunt erg moeilijk om zoiets naar buiten te brengen, maar laten sudderen op de achtergrond -totdat het een keer uitkomt/misbruikt wordt- is nog veel erger. Als er meteen adequaat gereageerd werd kon het bedrijf waarschijnlijk zijn activiteiten doorzetten, nu is het zo goed als failliet.
:strip_exif()/u/44466/0115455001290429971.gif?f=community){kind=small}
Bij het bekend maken van deze hack had de overheid meteen actie moeten ondernemen. Maar men zei echter nog steeds vertrouwen te hebben in Diginotar.
Om jou vergelijking even door te trekken:
Als jij merkt dat jou creditcard gegevens niet meer veilig zijn laat je deze toch meteen blokkeren? Of ga je wachten totdat jou creditcard maatschappij dit zelf gaat doen?
Ja, Diginotar was in gebreke... De overheid had echter de kans om daarop meteen te reageren. Dit hebben ze niet gedaan.
Om jou vergelijking even door te trekken:
Als jij merkt dat jou creditcard gegevens niet meer veilig zijn laat je deze toch meteen blokkeren? Of ga je wachten totdat jou creditcard maatschappij dit zelf gaat doen?
Ja, Diginotar was in gebreke... De overheid had echter de kans om daarop meteen te reageren. Dit hebben ze niet gedaan.
als jij ook maar enig verstand had van hoe die dingen Horen te gaan, .....
het is niet dat de overheid een stelletje cert experts in dienst kan nemen, what next... anders hadden ze het hele bedrijfstleven nooit nodig...
natuurlijk is het raar dat ze eerst zeggen dat het allemaal niet zo erg is.... maar misschien is dat wel helemaal niet direct zo gezegt (ik heb niet alle verklaringen letterlijk gehoord of gelezen, maar een zin als 'laten we vooral niet in paniek raken, het zal allemaal wel meevallen... wordt als snel, 'minister ontkent problemen rond diginotar' want eerlijkheid gebied, de media kan er ook wat van hoor!....
ja er moet een meldplicht komen, maar dat is echt niet het enige wat er mis is... niet in de overheid maar ook binnen de bevolking... 6% schijnt lid te zijn van een botnet... bijv... laten we dus vooral niet doen alsof diginotar het enige online probleem is...
het is niet dat de overheid een stelletje cert experts in dienst kan nemen, what next... anders hadden ze het hele bedrijfstleven nooit nodig...
natuurlijk is het raar dat ze eerst zeggen dat het allemaal niet zo erg is.... maar misschien is dat wel helemaal niet direct zo gezegt (ik heb niet alle verklaringen letterlijk gehoord of gelezen, maar een zin als 'laten we vooral niet in paniek raken, het zal allemaal wel meevallen... wordt als snel, 'minister ontkent problemen rond diginotar' want eerlijkheid gebied, de media kan er ook wat van hoor!....
ja er moet een meldplicht komen, maar dat is echt niet het enige wat er mis is... niet in de overheid maar ook binnen de bevolking... 6% schijnt lid te zijn van een botnet... bijv... laten we dus vooral niet doen alsof diginotar het enige online probleem is...
Opzich wel logisch juist omdat de meesten aangeven dat veiligheid een utopie is, dat had de Overheid ook moeten weten. Ze hadden meteen stappen moeten nemen.
/u/190220/Naamloos.png?f=community){kind=small}
Het kan wel zo zijn dat de overheid een klant is en het Diginotar is die echt faalt maar dan nog..
Het gaat hier om de overheid. Ik verwacht dat mijn overheid een goede keuze maakt met wie het in zee gaat en regelmatig dmv audits test of het kan blijven voldoen aan de (hoge) eisen die een overheid zou moeten stellen.. Het tegendeel is bewezen dus daarom ook voor mij; overheid + ICT = epic fail
Het gaat hier om de overheid. Ik verwacht dat mijn overheid een goede keuze maakt met wie het in zee gaat en regelmatig dmv audits test of het kan blijven voldoen aan de (hoge) eisen die een overheid zou moeten stellen.. Het tegendeel is bewezen dus daarom ook voor mij; overheid + ICT = epic fail
:strip_exif()/u/327460/cowboy.gif?f=community){kind=small}
De overheid heeft geen verstand van de service die ze afnemen.
Ze kunnen de kwaliteit van de service dus ook niet beoordelen.
Als je iets gaat kopen of afnemen van iemand zorg je dat weet wat belangrijk is.
Dit is iets wat de overheid wel doet, maar niet grondig genoeg.
Ze hoeven de beveiliging dus niet intern te doen, maar het is wel belangrijk als ze hun eigen experts hebben die toezicht houden op de private partij waaraan geoutsourced wordt.
Enfin, dit geldt eigenlijk niet alleen voor de beveiliging omtrent ICT bij de overheid, maar voor ICT in het algemeen bij de overheid.
Ze kunnen de kwaliteit van de service dus ook niet beoordelen.
Als je iets gaat kopen of afnemen van iemand zorg je dat weet wat belangrijk is.
Dit is iets wat de overheid wel doet, maar niet grondig genoeg.
Ze hoeven de beveiliging dus niet intern te doen, maar het is wel belangrijk als ze hun eigen experts hebben die toezicht houden op de private partij waaraan geoutsourced wordt.
Enfin, dit geldt eigenlijk niet alleen voor de beveiliging omtrent ICT bij de overheid, maar voor ICT in het algemeen bij de overheid.
:strip_icc():strip_exif()/u/50793/thumb-exorcist.jpg?f=community){kind=small}
Enigszins typisch voor de Tweakers om de overheid altijd maar de schuld te geven van alles, terwijl ze hier vrij weinig aan kunnen of konden doen. Het Internet zal ook nooit veilig zijn, daarvoor lopen er teveel slimme IT-ers rond.
/u/155722/Looneytunes.png?f=community){kind=small}
Of te weinig.
:strip_exif()/u/19165/9cdefd.gif?f=community){kind=small}
Of aan de verkeerde kant van de firewall 
:strip_icc():strip_exif()/u/249917/jaapschaap.jpg?f=community){kind=small}
Was het niet de overheid die het allemaal nog vertrouwde na de hack vorig jaar (of zelfs 2 jaar terug)? En zelfs nadat het bekend was dat er false certificaten uitgebracht waren riep de overheid niet dat ze nog alle vertrouwen hadden?
En nu na al dat gezeik en na het ontdekken dat er nog meer certificaten vals zijn dan ze dachten gaven ze EINDELIJK het vertrouwen op!
Echt een stel prutsers daar aan de top van NL, van mij mogen ze direct afgezet worden en er mensen met verstand geplaatst worden want die zitten er nu duidelijk NIET...
En nu na al dat gezeik en na het ontdekken dat er nog meer certificaten vals zijn dan ze dachten gaven ze EINDELIJK het vertrouwen op!
Echt een stel prutsers daar aan de top van NL, van mij mogen ze direct afgezet worden en er mensen met verstand geplaatst worden want die zitten er nu duidelijk NIET...
[Reactie gewijzigd door watercoolertje op 24 juli 2024 05:08]
:strip_icc():strip_exif()/u/405699/crop645c8b69758b1_cropped.jpg?f=community){kind=small}
Dat een veilig internet een utopie is
Volgens mij wisten wij dat al (althans, ik wel), maar ik denk dat dit nu een mooi gebaar naar de minder-technische wereld is om aan te geven dat Internet niet het meest betrouwbare media is. Twijfel er echter aan of de meeste niet-techneuten uberhaupt begrijpen wat er nu gaande is met het gehele debacle.
Volgens mij wisten wij dat al (althans, ik wel), maar ik denk dat dit nu een mooi gebaar naar de minder-technische wereld is om aan te geven dat Internet niet het meest betrouwbare media is. Twijfel er echter aan of de meeste niet-techneuten uberhaupt begrijpen wat er nu gaande is met het gehele debacle.
Vindt dat persoonlijk nogal een vlut-anwoord, dat spreekt gewoon voor zich en staat los van alle andere antwoorden (uiteindelijk zegt ELK antwoord dat het internet niet veilig is namelijk) en zeker geen excuse dat Diginotar gehackt is...
dat mag dan waar zijn, maar dat neemt niet weg, dat het internet een soort warzone is waar flutbedrijfjes als diginotar dus kunnen doen en laten wat ze willen zonder enige concequenties (TOT NU TOE) ...
dat de overheid en ict niet samengaan is gewoon niet vreemd, meubelstofeerder x uit plaats y meet 10.000 werknemers zal het heus niet beter doen dan de overheid...
zeker niet omdat de overheid een gemakkelijk doelwit is, ze hebben een belangrijke taak en zijn makkelijk op te lichten ... en door de enorme burocratie kan niemand je tegenhouden...
zeker omdat de overheid geen aandeelhouders heeft die 'echt' macht hebben om dit soort deals terug te draaien...
dat de overheid en ict niet samengaan is gewoon niet vreemd, meubelstofeerder x uit plaats y meet 10.000 werknemers zal het heus niet beter doen dan de overheid...
zeker niet omdat de overheid een gemakkelijk doelwit is, ze hebben een belangrijke taak en zijn makkelijk op te lichten ... en door de enorme burocratie kan niemand je tegenhouden...
zeker omdat de overheid geen aandeelhouders heeft die 'echt' macht hebben om dit soort deals terug te draaien...
:strip_icc():strip_exif()/u/49652/HomerInBlack2.jpg?f=community){kind=small}
Ach joh, 10~15 jaar geleden deed bijna 90% van de internet-bedrijven zo z'n werk en ondanks dat ze het ontkennen, werken veel bedrijven anno 2011 helaas nog steeds zo onprofessioneel ... Je ruikt ze tegenwoordig al op afstand
Maar even on-topic: een meubelstofeerder met 10 000 medewerkers en de nationale overheid met bijna 1M ambtenaren (?) en 'verantwoordelijkheid voor de hele samenleving' kun je natuurlijk niet zomaar vergelijken.
En de overheid heeft juist wel 'echt' macht; de hierarchische structuur is sterk bij de overheid, maar het ontbreekt gewoon aan kennis en centralisatie ervan. Elke overheids-club z'n eigen IT mannetje waarborgt simpelweg de vereiste kwaliteit (die bij de verantwoordelijkheden van een overheid horen) niet ...
Maar even on-topic: een meubelstofeerder met 10 000 medewerkers en de nationale overheid met bijna 1M ambtenaren (?) en 'verantwoordelijkheid voor de hele samenleving' kun je natuurlijk niet zomaar vergelijken.
En de overheid heeft juist wel 'echt' macht; de hierarchische structuur is sterk bij de overheid, maar het ontbreekt gewoon aan kennis en centralisatie ervan. Elke overheids-club z'n eigen IT mannetje waarborgt simpelweg de vereiste kwaliteit (die bij de verantwoordelijkheden van een overheid horen) niet ...
dat er een meldplicht moet komen voor hacks en datalekken
De hack zelf was niet zozeer het probleem, als DigiNotar er direct op had gereageerd. Dat is dus de hele fout, het kan altijd overkomen dat een site gehackt wordt. Tijdig ingrijpen had het grootste deel van de schade voorkomen.
De hack zelf was niet zozeer het probleem, als DigiNotar er direct op had gereageerd. Dat is dus de hele fout, het kan altijd overkomen dat een site gehackt wordt. Tijdig ingrijpen had het grootste deel van de schade voorkomen.
:strip_icc():strip_exif()/u/85308/mirko.jpg?f=community){kind=small}
Dat meldpunt is een farce... Ik heb van de week tenenkrommend het interview gezien met Mw. Kroes (1-Vandaag) over dat zij maar vindt dat er een Europees meldpunt moet komen voor dit soort hacks of andere zaken die de "grensoverschrijdende veiligheid van internetzaken" in gevaar brengen. Mw. Kroes is wat hoogdravend en haar doelen op ICT-gebied (zoals breedband in Europa en andere zaken tot aan je eigen voordeur) zal zij nooit gerealiseerd zien voordat ze met pensioen gaat.
Nou ben ik volledig niet onderlegd in SSL-certificaten en de tiers die hierin gebruikt worden voor het uitdelen, beoordelen, implementeren etc maar zijn er geen zogenaamde root CA's die als meldpunt dienen voor certificaten of die minstens de mogelijkheid hebben om eenzijdig een certificaat in te trekken? Alsof een ambtenaar in Brussel/Straatsburg "even" kan beoordelen hoe veilig/onveilig een certificaat nog is als een random SSL-issues hierover belt of mailt.
Er zijn voldoende zelf-regulerende organen die een standaard in het leven hebben geroepen en hier ook toezicht op houden; waarom moet het onderwerp SSL nou weer ergens in Europa belegd worden? Was het gebeurd met 500+ certificaten van allerlei webwinkels, dan was er waarschijnlijk aanzienlijk minder aandacht aan besteed en waren er niet eens geluiden uit de Tweede Kamer over gekomen.
Nou ben ik volledig niet onderlegd in SSL-certificaten en de tiers die hierin gebruikt worden voor het uitdelen, beoordelen, implementeren etc maar zijn er geen zogenaamde root CA's die als meldpunt dienen voor certificaten of die minstens de mogelijkheid hebben om eenzijdig een certificaat in te trekken? Alsof een ambtenaar in Brussel/Straatsburg "even" kan beoordelen hoe veilig/onveilig een certificaat nog is als een random SSL-issues hierover belt of mailt.
Er zijn voldoende zelf-regulerende organen die een standaard in het leven hebben geroepen en hier ook toezicht op houden; waarom moet het onderwerp SSL nou weer ergens in Europa belegd worden? Was het gebeurd met 500+ certificaten van allerlei webwinkels, dan was er waarschijnlijk aanzienlijk minder aandacht aan besteed en waren er niet eens geluiden uit de Tweede Kamer over gekomen.
:strip_icc():strip_exif()/u/124259/locutus.jpg?f=community){kind=small}
Ik mis de optie 'alle van de bovenstaande'...
:strip_exif()/u/4564/nerdguy.gif?f=community){kind=small}
Je haalt me de optie uit de mond. Ik weet dan ook niet wat ik moet kiezen. Het hele systeem van CA's die wij met zijn allen gebruiken is al een hele tijd sterk verouderd. Zeker toen (ik meen vorig jaar) bekend werd dat een aantal CA's hun moedersleutel aan bepaalde overheden hadden gegeven. Helaas heb ik hier geen bronvermelding meer van (kan 't niet meer vinden met google) maar sindsdien adviseer ik eenieder om nog eens goed na te denken alvorens een public CA de certs te laten ondertekenen. Ik kan me namelijk voorstellen dat voor bepaalde info je toch liever een private CA gebruikt waarvan je zeker bent dat die niet remote te hacken is (oftewel waar het utp kabeltje uitgehaald is).
Eigenlijk meerdere mogelijk, maar ik heb gestemd op de optie dat de overheid faalde hierin. Feit blijft dat ze véél te laat actie hebben ondernomen. Als ze ietsjes eerder uit hun luie stoel waren gekomen dan was het allemaal wat beter gegaan.
Verder is het natuurlijk belangrijk om te weten dat de overheid hier an sich niets aan kan doen. Vandaar dat de optie dat veilig internet een utopie is ook een goede keuze is.
Een meldpunt lijkt me voor dit soort zaken niet bepaald zinvol. Het is aan de overheid om gelijk actie te ondernemen, daar hoeft een meldpunt niet aan bij te dragen imo.
Verder is het natuurlijk belangrijk om te weten dat de overheid hier an sich niets aan kan doen. Vandaar dat de optie dat veilig internet een utopie is ook een goede keuze is.
Een meldpunt lijkt me voor dit soort zaken niet bepaald zinvol. Het is aan de overheid om gelijk actie te ondernemen, daar hoeft een meldpunt niet aan bij te dragen imo.
/u/70160/herko-icon.png?f=community){kind=icon}
M.i. maakt de overheid redelijk goed overwogen keuzes in deze. Veel eerder konden ze niet reageren, omdat Diginotar de hack onder de pet hield.
Je kunt wel vragen stellen bij de controle op de CA's. Als de berichtgeving rondom de interne organisatie van Diginotar klopt, dan is daar wel het een en ander serieus mis, op het misleidende af: effe lekker cashen op overheidscertificaten zonder er een fatsoenlijke infrastructuur voor in te richten.
Je kunt wel vragen stellen bij de controle op de CA's. Als de berichtgeving rondom de interne organisatie van Diginotar klopt, dan is daar wel het een en ander serieus mis, op het misleidende af: effe lekker cashen op overheidscertificaten zonder er een fatsoenlijke infrastructuur voor in te richten.
:strip_icc():strip_exif()/u/40983/brian.jpg?f=community){kind=small}
Tsja, ik denk dat een veilig internet nooit 100% haalbaar is.
Ik vergelijk het voor het gemak maar met identiteitspapieren zoals je paspoort. Dat is in feite het certificaat dat zegt dat jij echt degene bent die jij zegt dat je bent. Maar ook dat is te omzeilen door valse papieren. In feite is er niet zo'n groot verschil.
Je kan het moeilijk maken, maar onmogelijk zal wel nooit kunnen.
Ik vergelijk het voor het gemak maar met identiteitspapieren zoals je paspoort. Dat is in feite het certificaat dat zegt dat jij echt degene bent die jij zegt dat je bent. Maar ook dat is te omzeilen door valse papieren. In feite is er niet zo'n groot verschil.
Je kan het moeilijk maken, maar onmogelijk zal wel nooit kunnen.
:strip_icc():strip_exif()/u/195224/Boeman%2520T.net.jpg?f=community){kind=small}
Dat de gevolgen van deze hack in dit geval vooral bij de overheid openbaar komen is inderdaad niet het bijzondere aan het debacle. Vergeet niet dat de recenste hacks in het nieuws op allerlei plekken naar bovenkwamen: Mastercard, VISA, Sony (PSN), vervoerder BART, Paypal, Fox Broadcasting...
Mij lijkt de boodschap dat veilig internet een utopie is het belangrijkste is wat het non-tech-publiek via de grote media hiervan oppikt. En terecht, het lijkt soms zo vanzelfsprekend dat je veilig kan internetten dat je de niet te veranderen kwetsbaarheid van de webbeveiliging zou vergeten. Dan kun je wel een meldplicht instellen, of een alternatief voor ssl-cerfiticaten verzinnen, of een beter wachtwoord dan Pr0d@dm1n verzinnen... maar het basisprincipe blijft: alles wat geprogrammeerd is, is te hacken.
Vergeet in deze context ook niet wat er bij Wikileaks gebeurd is. Daar is de beveiliging niet eens gehackt en toch ligt alle informatie op straat. Omdat je naast de technische beveiliging ook nog eens met mensen te maken hebt. Ook dit wijst naar de centrale boodschap: veilig internet is wensdenken.
Mij lijkt de boodschap dat veilig internet een utopie is het belangrijkste is wat het non-tech-publiek via de grote media hiervan oppikt. En terecht, het lijkt soms zo vanzelfsprekend dat je veilig kan internetten dat je de niet te veranderen kwetsbaarheid van de webbeveiliging zou vergeten. Dan kun je wel een meldplicht instellen, of een alternatief voor ssl-cerfiticaten verzinnen, of een beter wachtwoord dan Pr0d@dm1n verzinnen... maar het basisprincipe blijft: alles wat geprogrammeerd is, is te hacken.
Vergeet in deze context ook niet wat er bij Wikileaks gebeurd is. Daar is de beveiliging niet eens gehackt en toch ligt alle informatie op straat. Omdat je naast de technische beveiliging ook nog eens met mensen te maken hebt. Ook dit wijst naar de centrale boodschap: veilig internet is wensdenken.
/u/286895/icon1.png?f=community){kind=small}
Geen enkel systeem is perfect dus wat mij betreft een wat lege stelling.dat een veilig internet een utopie is
Dat de overheid goed op zijn digitale systeempjes moet letten is wél aangetoond, in tegenstelling tot commerciële organisaties die hun stinkende best moeten doen om de klant weer vertrouwen te geven (zoals sony met PSN) kost het de overheid toch geen "klanten". Ik zit nog steeds aan DigiD vast als ik zaken voor mijn studie moet regelen.
Ik heb gekozen voor de stelling dat er meldplicht moet komen voor lekken, al komt dit niet 100% overeen met mijn mening. Maar het is nu gewoon zo dat er vaak geen enkele eisen zijn en er geen enkele controle is op beveiliging (of een gebrek daaraan), je kan als bedrijf/overheidsinstelling gewoon een brakke database maken zonder dat daar consequenties aan zitten. Enige verplichtingen voor grote databases of gevoelige data zou wat mij betreft wel op zijn plaats zijn.
/u/421416/crop687fdb38c9826_cropped.png?f=community){kind=small}
Een veilig internet is een utopie dat weten we allemaal, is beveiliging éénmaal geperfectioneerd is de ontwikkeling in soft en hardware al weer zo ver dat het het via een ander manier/weg de beveiligingen ongedaan of omzeild kunnen worden.
Als alle overheid instanties een veiliger netwerk willen hebben, zou ze een eigen internet netwerk via bv glasvezel met encryptie erop beter zijn, kan er niemand op inbreken.
Maar dan zal er software wijzen nog veel gedaan moeten worden, zoals we weten werken veel systemen naast elkaar en erlangs en zijn de meeste software pakketen bij de overheid zo log lomp grote met te veel overbodige codes en in zoveel verschillende talen geschreven dat het bijna niet meer met mekaar wil communiceren.
ps
DigiD is zo irritant dat mogen ze van mij gelijk afschaffen, als je het eens nodig hebt, moet het geactiveerd worden etc en dan hopen dat je je inlog gegevens nog herinnert.
Als alle overheid instanties een veiliger netwerk willen hebben, zou ze een eigen internet netwerk via bv glasvezel met encryptie erop beter zijn, kan er niemand op inbreken.
Maar dan zal er software wijzen nog veel gedaan moeten worden, zoals we weten werken veel systemen naast elkaar en erlangs en zijn de meeste software pakketen bij de overheid zo log lomp grote met te veel overbodige codes en in zoveel verschillende talen geschreven dat het bijna niet meer met mekaar wil communiceren.
ps
DigiD is zo irritant dat mogen ze van mij gelijk afschaffen, als je het eens nodig hebt, moet het geactiveerd worden etc en dan hopen dat je je inlog gegevens nog herinnert.
:strip_icc():strip_exif()/u/3909/snavel.jpg?f=community){kind=small}
Waar ik de indruk van krijg als mensen zeggen dat "alle computer beveiligingen te hacken zijn", dat dit opgevat wordt alsof computers onveiliger zijn dan alle andere/oude beveiliging systemen, terwijl alle soorten beveiligingen altijd al gekraakt werden. Ooit was het b.v. een kluis met de stethoscoop, nu is het een server met een dictionary attack.
Als iemand b.v. een slecht wachtwoord gebruikt, of een kritisch systeem bereikbaar laat voor heel internet, omdat: lekker gemakkelijk, dan is dat niet veel anders als de reservesleutel onder de deurmat leggen. Dat wil niet zeggen dat het slot slecht is. En zelfs al doe je dat goed, maar heb je geen veiligheidsscharnieren, lichten ze alsnog je deur eruit.
Het geldt dus echt niet alleen voor computers en internet. Alles valt te kraken. Altijd al zo geweest. Ik ben er zelfs van overtuigd dat computer systemen een stuk veiliger (kunnen) zijn dan een even doordacht opgezet niet-computer systeem. Alleen dat "even doordacht" is vaak het probleem. Er wordt nog veel te gemakkelijk omgegaan met ICT en beveiliging (9 van de 10 keer ivm budget, door onkunde, of gewoon laksheid). Het is nog te nieuw, er zijn nog steeds niet genoeg mensen op hun bek gegaan.
Om maar een ander voorbeeld te noemen: de overheid wil niet voor niets een wachtwoord plicht instellen, omdat encrypted bestanden gewoon niet te kraken zijn als er een behoorlijk wachtwoord is gebruikt. Tik b.v. maar "encryption" en "FBI" op google in, je komt genoeg berichten tegen. Voor je kluis hoeft dat dus niet, dat lossen ze wel anders op als het moet.
Als iemand b.v. een slecht wachtwoord gebruikt, of een kritisch systeem bereikbaar laat voor heel internet, omdat: lekker gemakkelijk, dan is dat niet veel anders als de reservesleutel onder de deurmat leggen. Dat wil niet zeggen dat het slot slecht is. En zelfs al doe je dat goed, maar heb je geen veiligheidsscharnieren, lichten ze alsnog je deur eruit.
Het geldt dus echt niet alleen voor computers en internet. Alles valt te kraken. Altijd al zo geweest. Ik ben er zelfs van overtuigd dat computer systemen een stuk veiliger (kunnen) zijn dan een even doordacht opgezet niet-computer systeem. Alleen dat "even doordacht" is vaak het probleem. Er wordt nog veel te gemakkelijk omgegaan met ICT en beveiliging (9 van de 10 keer ivm budget, door onkunde, of gewoon laksheid). Het is nog te nieuw, er zijn nog steeds niet genoeg mensen op hun bek gegaan.
Om maar een ander voorbeeld te noemen: de overheid wil niet voor niets een wachtwoord plicht instellen, omdat encrypted bestanden gewoon niet te kraken zijn als er een behoorlijk wachtwoord is gebruikt. Tik b.v. maar "encryption" en "FBI" op google in, je komt genoeg berichten tegen. Voor je kluis hoeft dat dus niet, dat lossen ze wel anders op als het moet.
Op dit item kan niet meer gereageerd worden.