Tag: beveiligingsadvies

Onderzoeker laat zien hoe je hackers kunt hacken

  door

De Franse beveiligingsonderzoeker Laurent Oudot heeft dertien ernstige lekken in beruchte exploitkits ontdekt, waardoor slachtoffers van een webaanval hun aanvallers kunnen hacken…Oudot wil slachtoffers op deze manier te wapens geven om terug te vechten. Via de kwetsbaarheden is het mogelijk om de applicatie of servers van de aanvallers over te nemen of uit te schakelen (bron).

Erg leuk natuurlijk dat een beveiligingsonderzoeker aangeeft dat je hackers kunt hacken maar volgens mij bevind je je op een erg gevaarlijk gebied als je zijn advies in de praktijk brengt. Allereerst is de kans natuurlijk erg groot dat je de wet overtreedt maar daarnaast moet je dus technisch beter onderlegd zijn dan de hacker die je gehackt heeft. Dat gaat voor een techneut misschien nog als hij is aangevallen door een scriptkiddie maar anders wordt het toch al een lastig verhaal.

Als je gehackt bent dan had je blijkbaar je systemen niet op orde en de techneuten met verstand van beveiliging zal dat toch niet gebeuren? Het is waarschijnlijker dat iemand met weinig verstand van computers gehackt wordt en die zie ik echt geen tegenaanval inzetten.

Nee, een typisch advies waar je in de theorie misschien iets mee kunt maar in de praktijk heb je er niks aan. Sterker nog het kan de zaken alleen maar erger maken, je bent eigen rechter aan het spelen en neemt het als computeranalfabeet op tegen iemand die iets meer van de techniek weet.

Mijn advies? Sla het advies van deze onderzoeker maar in de wind en doe je dat niet wees dan bereidt om de consequenties te aanvaarden.

Virtuele servers vaak onveiliger dan fysieke

  door

Een groot deel van de virtuele servers zijn minder veilig dan de fysieke servers die ze vervangen. Dat zegt Gartner op grond van onderzoek…Dat de virtuele servers onveiliger zijn komt doordat er in het vroege stadium van architectuur en planning geen beveiligingsteams bij het project betrokken worden (bron).

Ja wie ben ik om Gartner tegen te spreken. Maar wat is nu het nieuws? Dat virtuele servers onveiliger zijn of dat er geen beveiligingsteams bij het project betrokken zijn? Dat laatste zie je maar al te vaak en echt niet alleen bij de ontwikkeling van architectuur of servers. Het geldt voor alle projecten…die beveiligers worden vergeten of ze zijn te lastig waardoor ze gewoon niet gevraagd worden.

Nu wil ik niet zeggen dat je beveiliging bij ieder project moet betrekken, maar bij een groot deel wel. Al is het alleen maar even in het ontwikkeltraject je plannen aanhouden tegen de beveiliging. Misschien hebben ze nog wat handige tips waardoor het veiliger kan.

In de praktijk zie je dat beveiliging, als er al over nagedacht wordt, pas in een laat stadium zijn zegje mag doen. Alleen pleisters plakken is dan nog mogelijk om het enigszins veilig te houden. Hierdoor worden er gedrochten van beveiligingsoplossingen verzonnen die enorm veel geld kosten. Dat bevestigd dan weer het beeld dat binnen de organisatie toch al leeft: zie je wel, dat beveiligen is alleen maar lastig, werkt tijdvertragend en is enorm duur.

De kunst voor beveiligers blijft om pro-actief en positief te adviseren. De stelling: nee dat mag niet want het is niet veilig…is zo 1980. We moeten er toch echt vanuit gaan dat alles kan, maar wel zo veilig mogelijk. Geloof me, de business zet je volledig buitenspel als je je meerwaarde niet aantoont en het alleen maar lastig maakt. Heb ook niet de illusie dat een ontwikkeling (die geld op moet leveren) niet doorgaat omdat wij het niet veilig vinden.

Nee, we zeggen het wel vaak: beveiliging is ondersteunend aan de business…maar in de praktijk moeten we dat ook echt gaan toepassen en onze meerwaarde aantonen. Probeer eens een beveiligingsadvies te geven waarbij de business juist meer kan verdienen of meer kan bezuinigen door die maatregel te nemen, dan heb je een stap gezet in de juiste richting.

Oh ja, het ging om virtuele servers en daarvan betwijfel ik of die echt onveiliger zijn…maar goed ik wil Gartner niet tegenspreken en ga er maar niet verder op in. Wie mijn mening wil weten, weet me te vinden.