Tag: cracking

Elke gemeente moet eigen hacker krijgen

  door

Elke Nederlandse gemeente zou eigen hackers in dienst moeten nemen, aldus burgemeester Han Polman, tevens bestuurslid van de Vereniging Nederlandse Gemeenten (VNG). De DigiNotar-affaire en Lektober liggen bij veel gemeenten nog vers in het geheugen. Ook de beveiliging van SCADA, de systemen die kritieke infrastructuur zoals dijken en sluizen besturen, zou op veel locaties te wensen overlaten (bron).

Op het eerste gezicht misschien een erg positief bericht voor “onze” branche, maar als we er wat dieper op ingaan dan kunnen we toch wat vraagtekens zetten bij deze uitlating. Ik kan natuurlijk afsluiten met de conclusie, maar ik haal hem voor vandaag naar voren en zal dan aangeven waarom ik deze conclusie trek:
Niet iedere gemeente moet zijn eigen hacker krijgen, nee, iedere gemeente moet zijn verantwoordelijkheid nemen en de informatiebeveiliging op orde hebben. Hoe ze dat doen is een andere vraag.

Ok, hier gaan we. Op 1 januari 2012 telde Nederland 415 gemeenten. Dat is al een eerste reden dat niet iedere gemeente een eigen hacker moet krijgen. Ik vraag me af of er zoveel (goed opgeleide) hackers (met goede bedoelingen) in Nederland te vinden zijn. Overigens is de kleinste gemeente de gemeente Schiermonnikoog met 950 inwoners, knappe jongen als je daar een serieuze hacker weet te vinden.

Een tweede reden ligt misschien erg voor de hand, maar ook niet iedere gemeente heeft een gemeentelijke inbreker om te controleren of alle gebouwen en huizen in deze gemeente wel inbrekersproof zijn. Sterker nog, niet iedere gemeente heeft een Security Manager of Officer. Wie moet die hacker dan aan gaan sturen en volgens welk beveiligingsbeleid moet hij of zij dan gaan werken? Dan is dan ook direct de derde reden: het ontbreken van een goed beveiligingsbeleid.

Overigens beweer ik ook niet dat iedere gemeente een Security Manager zou moeten hebben. Voor de kleinere (en misschien zelfs middelgrote) gemeenten is dat niet nodig. De taken kunnen we gemakkelijk bij iemand beleggen, de daadwerkelijke invulling kunnen we best uitbesteden. We willen immers niet dat die Security Manager en die hacker zich te pletter gaan vervelen want dan vormen ze wellicht een groter risico dan een beveiligingsmaatregel. Nog een reden dus: is er wel genoeg werk voor die hacker? En overleeft hij de volgende reorganisatie dan wel?

Dan is er nog een reden om terughoudend te zijn met het aannemen van hackers. Dat is misschien een definitie kwestie, maar wel een die we in het aanname beleid goed moeten controleren. Er zijn zogenaamde white hat hackers en black hat hackers (ook wel crackers). Die laatste categorie wordt gedreven uit crimineel, ideologisch of vernielzuchtig oogpunt. Het lijkt me dus verstandig even na te gaan tot welke categorie de sollicitant zich rekent en misschien kan een Verklaring Omtrent het Gedrag ook geen kwaad (waarbij we er natuurlijk rekening mee houden dat een VOG alleen maar aangeeft dat iemand in het verleden nooit voor dit soort vergrijpen is opgepakt…het zegt niet automatisch dat hij nooit de wet heeft overtreden).

Hoewel we vast nog veel meer redenen kunnen bedenken, sluiten we af met deze: wie controleert de controleur? Wie kan er toezicht houden op de hacker en zijn of haar activiteiten? We kunnen wel allerlei protocollen en richtlijnen afspreken (hoewel die voor veel gemeenten ontbreken op dit moment), maar hoe weten we zeker dat de hacker zich daar aan houdt? Hoe weten we zeker dat hij genoegen neemt met zijn ambtenaren salaris en toch niet een beetje bij wil verdienen? Het grootste gevaar is nog altijd een intern gevaar en zeker als het om dergelijke techneuten gaat kan dat grote risico’s opleveren voor de gemeente.

Nee, het lijkt een leuke uitspraak en grotere gemeenten kunnen het wellicht overwegen, maar de rest moet gewoon de kaders stellen en de expertise van buiten halen (en natuurlijk mag je me daar altijd even voor bellen, ik weet nog wel een paar goede white hat hackers).

Warez gevaarlijker dan porno

  door

Vaak wordt gewaarschuwd dat pornosites malware bevatten, maar onderzoek laat zien dat illegale software nog veel gevaarlijker is. “Pornografie is nog steeds een gevaarlijk segment voor infectie, maar het lijkt erop dat het downloaden van zogeheten ‘cracks’ en ‘keygens’, samen met illegale programma’s van het web en peer to peer netwerken gevaarlijker is”, aldus beveiligingsbedrijf MicroSolved (bron).

Interessante informatie natuurlijk, maar laten we eerlijk zijn: als bedrijf kunnen we nooit op deze manier geïnfecteerd raken, toch? Nee want pornosurfen is volgens onze policy verboden dus dat gebeurt niet en illegale software mag volgens diezelfde policy ook niet geïnstalleerd worden. Dus waar hebben we het nu eigenlijk over? Controleren? Nee, natuurlijk doen we dat niet, dat mag niet van de OndernemersRaad.

Is dit bericht dan alleen interessant voor de thuisgebruiker? Nee, natuurlijk niet.

Het valt waarschijnlijk erg op als je op je werk de hele dag gaat zitten zoeken naar pornosites. Misschien valt het zoeken nog niet eens zo op, maar als je dan gevonden hebt wat je zocht dan hoop je toch niet dat er net een collega over je schouder mee kijkt.

Het illegaal installeren van software valt al veel minder op. “Handige tool heb jij, geef mij een kopietje”, en voor je het weet hangt jouw netwerk van illegaliteit aan elkaar. Voer je daar geen controles op uit dan kun je niet alleen hoge boetes verwachten maar is er zeker ook het risico dat het netwerk plat gaat (of allerlei informatie naar buiten stuurt…het is maar net wat je erger vindt).

De bedrijven mogen wel oppassen. “Onze schattingen zijn dat minder dan 10% van de pornografische bestanden die we hebben getest, geïnfecteerd was, terwijl 90% van de cracking en keygen tools malware waren.” Voor je het weet krijgt de OndernemersRaad lucht van dit soort berichten en moet het verbieden van pornosurfen uit de policy worden gehaald. Het vormt immers geen risico meer voor de organisatie.