[Discussie] Zembla: wifi onveilig en computerterreur - Privacy en beveiliging

zaterdag 5 juni 2004 03:05

Acties:

Topicstarter

GisterenEergisteren was er in Zembla een documentaire over onveilige wifi netwerken en computerterreur.

Ter inleiding:

Computernetwerken van Rijkswaterstaat, KLM en het televisieprogramma 2Vandaag staan open. In Zembla is te zien hoe binnen vijf minuten vertrouwelijke informatie van deze bedrijven vrij toegankelijk is. De drie organisaties gebruiken draadloos internet, ook wel wifi genoemd, dat niet beveiligd is.

Lees verder op: http://www.omroep.nl/vara...ome2.html?20040604/zembla, je kunt hier ook de uitzending terugzien.

Op verschillende sites is dit nieuws al aan bod gekomen:
• http://www.tweakers.net/nieuws/32748
• http://www.webwereld.nl/nieuws/18695.phtml
• http://forum.macosx.nl/viewtopic.php?t=20641

Wat onder andere ter sprake kwam:
• Netwerken van belangrijke instanties in Nederland zijn niet goed beveiligd, zoals bovengenoemde netwerken van 2Vandaag en Rijkswaterstaat.
• Bedrijven die gebruik maken van scada zouden vatbaar zijn voor aanvallen van buitenaf. Daardoor zou bijvoorbeeld de energievoorziening kunnen worden afgesloten.
• Doordat er veel computersystemen gekoppeld zijn, stijgt de afhankelijkheid. Doordat dit via internet gaat, zijn de gevolgen niet te overzien wanneer er iets fout gaat tussen deze schakels.
• Ruim 80% van de computergebruikers zijn onvoldoende beveiligd.

Roel Pieper pleit in deze documentaire voor een centraal ICT beleid. Ook wil hij een nationaal keurmerk voor de veiligheid van computersystemen.
Wat vinden jullie hiervan? Zijn dit goede ideeen? Zou het anders moeten? Of is dit alleen maar doemdenkerij?

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zaterdag 5 juni 2004 12:51

Acties:

lordgandalf

Op zich vindt ik dat draadloze netwerken standaard al beveiligd moeten worden enzo ingesteld dat mensen verplicht eerst een paar dingen instellen voordat ze er mee kunnen werken.
In mijn omgeving heb ik met een laptop en Wifi kaartje en Netstumbler al aardig wat onbeveiligde netwerkjes ontdekt en dat is niet echt goed voor de computer veiligheid.

Een keurmerk vindt ik iets te veel van het goede maar een (inter)nationale CERT (Computer Emergency Response Team) die de veiligheid van netwerken cq. internet controleert zouw mischien geen slecht idee zijn.

Bedrijven die vatbaar zijn door dat ze hun scada systemen niet voldoende beveiligen hebben er vaak zelf schuld aan je kunt makkelijk de internet toegang naar je scada systeem voldoende beveiligen lijkt me.

Over de veiligheid van computergebruikers vindt ik dat de overheid mischien een informatie campange mag beginnen om mensen op de gevaren die internet en computers met zich mee brengen duidelijk te maken

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

zaterdag 5 juni 2004 14:40

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Informatieverschaffing (op internet) is er al een tijd, zoals www.surfopsafe.nl.

Overigens zegt enkel het feit dat er wifi verbindingen waren niet alles over hoe ver je de systemen in kunt dringen; misschien is het wel een volledig los netwerk in sommige gevallen (al lijkt het commentaar van degene die zocht dat tegen te spreken en is het al wel een hele forse voet tussen de deur). Maar dat zegt niets over het feit dat op z'n minst rudimentaire beveiligingen wel nodig waren

Volledig tegen beinvloeding via het internet beveiligen is simpel: maak het de werknemers een stuk moeilijker door totaal niet meer het internet op te kunnen vanaf de computers waarmee ze al dan niet op afstand de data voor de machines bewerken. En doe een controle bij overdracht.

Het al dan niet draadloos is niet het belangrijke punt, enkel een indicatie van de beveiliging: als iemand een onbeveiligd wifi AP kan plaatsen, zie ik een ander met een ongepatch, onbeveiligde laptop inpluggen en virussen gaan rondstrooien. Ze hebben bij mijn vorige werkgever een vast netwerk achter een firewall, maar ik ben er van overtuigd dat ik "met een redelijke inspanning" parameters voor pak-em-beet een opdracht voor bijv. een zaagmachine zou kunnen aanpassen als ik dat zou willen. Simpelweg omdat de werknemers het kunnen en met enige moeite zijn die PC'sm waar ook op wordt gesurft, ge e-mailt en brieven worden getypt, wel over te nemen. Ook ken ik bedrijven die, natuurlijk wel achter een firewall, machines rechtstreekt benaderbaar hebben gemaakt via internet. Of nog makkelijker en minder zichtbaar: machines die via een (telefoon)modem benaderbaar zijn, met bijv. wat social engineering zijn die nummers vast te vinden.

Dat zijn niet bepaald een systemen die bij falen landelijke problemen opleveren, maar daar is het (blijkbaar?) slechts een kwestie van gradaties. Bij zeer belangrijke systemen zou er dan ook dus "gewoon" een fysieke scheiding moeten zijn, met een controle bij de fysieke overdracht van de data tussen systemen. Maar dat is in deze tijd te inefficient, langzaam en duur.

Maar om op de vragen van blackd terug te komen: voor ieder bedrijf geldende eisen zie ik niet per se zitten. Bij zulke grote schalen krijg je een grootste gemene deler die helemaal niets meer zegt. Verplicht minstens een keer per week alle beveiligingsupdates voor alle OSen en apps installeren? Lijkt me niet nuttig, niet te controleren en ook nog eens gevaarlijk (je wilt niet blind een update op je servers of workstations gooien). Of het wordt te duur voor veel bedrijven waar het minder een probleem is: een bedrijf kan zeker failliet gaan bij grote problemen maar dat is geen reden voor aangepaste wetgeving.

Bij zeer grote bedrijven en bepaalde bedrijfstakken zou ik echter wel graag een door middel van wetgeving vereist en door een instantie nageleefd veiligheidsniveau zien. Vergelijkbaar met milieu, chemicalien, etc.

Belangrijker dan de voorbeelden van PLC's en draadloze netwerken bij specifieke bedrijven, is wellicht de vraag in hoeverre (hechte of losse) netwerken tussen systemen van bedrijven zijn beveiligd, afhankelijk van elkaar zijn en of ze hoe dan ook (deels) via het veel goedkopere internet zouden mogen lopen. (Wat ik me bij uit beveiligingsoogpunt dure lijnen soms echter afvraag, is of ook fysieke en sociale toegang zo goed is afgedekt).

Maar een keurmerk en een centraal orgaan die aanspreekpunt is, een overzicht gaat krijgen van de netwerken op nationaal, europees (gas? energie? voedsel?) en internationaal (voedsel? olie?) niveau, keurt en op termijn kan adviseren voor wet- en regelgevingen zou ik niet verkeerd vinden. Een soort van NL-CERT zou ik zeker waarderen, _{al is er al een EUR-CERT maar daar op vertrouwen lijkt me niet handig na geruchte nvan industriele spionage en Echelon}

Maar als een keurmerk: wat voor soort keurmerken dan? Op welke niveau's? Beveiliging op netwerkniveau is leuk maar dat is niet het meest relevant en dat is iets waar ik vertrouw dat de grote jongens het toch wel op orde hebben voor de kritische systemen. Alleen al omdat hun verzekering etc. en interne controle afdelingen hopelijk zouden gaan schreeuwen als dat niet zo is.

_{waarschijnlijk een beetje een onsamenhangend verhaal. Wel wat discussiepunten}

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 5 juni 2004 15:30

Acties:

blackd

Topicstarter

lordgandalf schreef op 05 juni 2004 @ 12:51:
Op zich vindt ik dat draadloze netwerken standaard al beveiligd moeten worden enzo ingesteld dat mensen verplicht eerst een paar dingen instellen voordat ze er mee kunnen werken.

Waar ik me tijdens de uitzending over verbaasde, was de uitspraak van de verkoper van Wifi apparatuur. De opmerking werd gemaakt dat men wel eens de encryptie niet aanzet. De verkoper reageerde daarop met 'dat is dus de fout van de gebruiker'.
Ik vraag me dan af, in hoeverre je de vinger alleen naar de consument kan wijzen. Het werkt plug & play dus het lijkt voldoende voor de gemiddelde consument. Handleiding wordt niet gelezen, dat doen ze van de TV ook niet.

Over de veiligheid van computergebruikers vindt ik dat de overheid mischien een informatie campange mag beginnen om mensen op de gevaren die internet en computers met zich mee brengen duidelijk te maken

Waarschuwingsdienst.nl is een leuk initiatief, al vraag ik me af hoeveel mensen hier van op de hoogte zijn.

Ik zie overigens wel wat in een centraal orgaan voor allerlei IT gerelateerde zaken. Internet (privacy), spam, beveiliging etc. onderbrengen op 1 plaats.

F_J_K schreef op 05 juni 2004 @ 14:40:
Informatieverschaffing (op internet) is er al een tijd, zoals www.surfopsafe.nl.

Ook bij dit initiatief vraag ik me af hoeveel mensen hiervan op de hoogte zijn. Wat een leuk feit is, is dat er plannen zijn om op scholen lessen te geven in veilig internetten. Hoe en wat er precies gaat gebeuren weet ik niet, maar het zou een goede invulling kunnen zijn om het mentaliteitsprobleem (gedeeltelijk) op te kunnen lossen.

Overigens zegt enkel het feit dat er wifi verbindingen waren niet alles over hoe ver je de systemen in kunt dringen; misschien is het wel een volledig los netwerk in sommige gevallen (al lijkt het commentaar van degene die zocht dat tegen te spreken en is het al wel een hele forse voet tussen de deur). Maar dat zegt niets over het feit dat op z'n minst rudimentaire beveiligingen wel nodig waren

Wat ik eruit kon opmaken, leek het gewoon een AP zonder WEP en MAC filtering, laat staan VPN. Wanneer je dit soort dingen zo installeert, en daarna aankomt met het commentaar dat een instantie heeft gekeken naar de veiligheid (of er additionele maatregelen nodig waren), dan vraag ik me toch af waar we mee bezig zijn.
1) Heeft die instantie geen clue?
2) Heeft de sysadmin van dat netwerk geen clue?

Dat zijn niet bepaald een systemen die bij falen landelijke problemen opleveren, maar daar is het (blijkbaar?) slechts een kwestie van gradaties. Bij zeer belangrijke systemen zou er dan ook dus "gewoon" een fysieke scheiding moeten zijn, met een controle bij de fysieke overdracht van de data tussen systemen. Maar dat is in deze tijd te inefficient, langzaam en duur.

Duur is slechts een afweging, en ik denk dat de focus teweinig op veiligheid heeft gelegen. Ik heb geen inzicht in de situatie bij bijv. een bank, maar transacties wil je toch ook niet via Internet laten verlopen? Ik zou daar op z'n minst een dedicated lijn voor willen. Weet je zeker dat er niemand met je data kan klooien.

Maar om op de vragen van blackd terug te komen: voor ieder bedrijf geldende eisen zie ik niet per se zitten. Bij zulke grote schalen krijg je een grootste gemene deler die helemaal niets meer zegt. Verplicht minstens een keer per week alle beveiligingsupdates voor alle OSen en apps installeren? Lijkt me niet nuttig, niet te controleren en ook nog eens gevaarlijk (je wilt niet blind een update op je servers of workstations gooien). Of het wordt te duur voor veel bedrijven waar het minder een probleem is: een bedrijf kan zeker failliet gaan bij grote problemen maar dat is geen reden voor aangepaste wetgeving.

Het is natuurlijk een afweging ... lees verder ..

Bij zeer grote bedrijven en bepaalde bedrijfstakken zou ik echter wel graag een door middel van wetgeving vereist en door een instantie nageleefd veiligheidsniveau zien. Vergelijkbaar met milieu, chemicalien, etc.

Wanneer het gaat over landelijke electriciteitsvoorziening wil ik toch wel dat er een betere beveiliging is dan dat ik op http://apparaat.eneco.nl even mijn parameters kan wijzigen. Wat ik hiermee bedoel is dat de beveiliging van zaken die zo veel afhankelijkheden hebben, en zo belangrijk zijn (als het ware de motor voor de rest van de samenleving, denk aan electriciteit nu, internet nu maar zeker ook in de toekomst) gewoon GOED geregeld moeten worden, dat er niet gesniffed wordt door een wardriver etc.

Maar een keurmerk en een centraal orgaan die aanspreekpunt is, een overzicht gaat krijgen van de netwerken op nationaal, europees (gas? energie? voedsel?) en internationaal (voedsel? olie?) niveau, keurt en op termijn kan adviseren voor wet- en regelgevingen zou ik niet verkeerd vinden. Een soort van NL-CERT zou ik zeker waarderen, _{al is er al een EUR-CERT maar daar op vertrouwen lijkt me niet handig na geruchte nvan industriele spionage en Echelon}

Daar zie ik dus ook wel wat in.

Maar als een keurmerk: wat voor soort keurmerken dan? Op welke niveau's? Beveiliging op netwerkniveau is leuk maar dat is niet het meest relevant en dat is iets waar ik vertrouw dat de grote jongens het toch wel op orde hebben voor de kritische systemen. Alleen al omdat hun verzekering etc. en interne controle afdelingen hopelijk zouden gaan schreeuwen als dat niet zo is.

Nou, uit deze documentaire bleek wel dat de (grote? belangrijke?) jongens het niet op orde hebben.
Ik denk dat een keurmerk (een sticker op een wifi-apparaat) een vals gevoel van veiligheid geeft. "Mijn accesspoint heeft het 100%veilig certificaat, dus ik ben veilig" terwijl ze WEP niet aan hebben, dat idee.

Een keurmerk as in een certificaat (dus na controle) en daarbij actieve controle en naleving om deze certificaten te mogen gebruiken, dat zou wat zijn. Moet je wel mensen met clue hebben, en als een instantie het netwerk van 2Vandaag of Rijkswaterstaat (weet niet meer welke) heeft gecontroleerd en dit advies geeft, vraag ik me af welke instantie dan wel een goede controle moet gaan doen

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zaterdag 5 juni 2004 15:55

Acties:

lordgandalf

F_J_K schreef op 05 juni 2004 @ 14:40:

Overigens zegt enkel het feit dat er wifi verbindingen waren niet alles over hoe ver je de systemen in kunt dringen; misschien is het wel een volledig los netwerk in sommige gevallen (al lijkt het commentaar van degene die zocht dat tegen te spreken en is het al wel een hele forse voet tussen de deur). Maar dat zegt niets over het feit dat op z'n minst rudimentaire beveiligingen wel nodig waren

Volledig tegen beinvloeding via het internet beveiligen is simpel: maak het de werknemers een stuk moeilijker door totaal niet meer het internet op te kunnen vanaf de computers waarmee ze al dan niet op afstand de data voor de machines bewerken. En doe een controle bij overdracht.

Nouw volgens mij hoorde ik ze in de uitzending toch echt praten over dat ze zagen dat iemand een porno site aan het bezoeken was in de pauze nouw jij dit niet binnendringen dit vindt ik toch wel indringen in een netwerk dat niet beveiligt is ????

Bij mijn stage maken ze gebruik van WEP encryptie (automatisch verstrekt) ,Mac restrictie (Ingesteld door netwerkbeheer) en een certificaat dat door de eigenaar van de laptop cq. een ICT medewerker wordt geinstalleerd en ik moet zeggen dat ik het op zo`n manier voldoende beveiligd vindt voor een redelijk grote instelling

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

zaterdag 5 juni 2004 16:11

Acties:

Speed24

WEP is sowieso niet veilig ... zie bijv. http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html

zaterdag 5 juni 2004 16:23

Acties:

Resistor

Niet meggeren!

speed24 schreef op 05 juni 2004 @ 16:11:
WEP is sowieso niet veilig ... zie bijv. http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html

Een beetje beveiliging is altijd nog beter dan helemaal geen beveiliging.

Iemand die per ongeluk het netwerk binnenkomt en een virus gaat verspreiden (klant bv.) zou ik veel erger vinden dan iemand die bewust bezig is met de beveiliging te kraken.
Dat 1e is een geval van 'pruts-systeembeheerder zijn', het 2e is een geval van 'ik kan niet beter dan ik gedaan heb'

What will end humanity? Artificial intelligence or natural stupidity?

zaterdag 5 juni 2004 17:24

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

blackd schreef op 05 juni 2004 @ 15:30:
Waar ik me tijdens de uitzending over verbaasde, was de uitspraak van de verkoper van Wifi apparatuur. De opmerking werd gemaakt dat men wel eens de encryptie niet aanzet. De verkoper reageerde daarop met 'dat is dus de fout van de gebruiker'.
Ik vraag me dan af, in hoeverre je de vinger alleen naar de consument kan wijzen. Het werkt plug & play dus het lijkt voldoende voor de gemiddelde consument. Handleiding wordt niet gelezen, dat doen ze van de TV ook niet.

Inderdaad; voor de consumentenmarkt is dat iets dat heel erg geldt. Ook voor Windows trouwens (en Linux gebeurt niet met en supermarkt-PC, niet alle spelletjes en niet "de Office CD van werk" die even kan worden gekopieerd). Standaard beveiligingen aan is dan beter maar zou wel eens veel te veel (hele dure) telefoontjes naar de helpdesk kunnen opleveren.

Maar het ging hier om open bedrijfsnetwerken; in theorie lopen er dan zat mensen rond die er verstand van hebben. In de praktijk vaak ook maar dan krijgen ze eisen van boven die niet samenvallen met goede beveiliging, daar tegenin gaan is soms misschien moeilijk. Maar netwerken kan je natuurlijk hoe dan ook scheiden en (grotendeels encryptie en andere beveiligingen gebruiken), doe dat dan ook. [rml]Resistor in "[ Discussie] Zembla: wifi onveilig en com..."[/rml] heeft daar gelijk in

Waarschuwingsdienst.nl is een leuk initiatief, al vraag ik me af hoeveel mensen hier van op de hoogte zijn.

Ik zie overigens wel wat in een centraal orgaan voor allerlei IT gerelateerde zaken. Internet (privacy), spam, beveiliging etc. onderbrengen op 1 plaats.

Heel weinig mensen in de doelgroepkennen het volgens mij, maar hoe los je dat op? Doodgooien met statusmeldingen heeft geen zin, nu wordt er ook al niets gedaan als er minutenlang iets over Sasser op het journaal komt.
En yup, een enkele dienst. Privacy en beveiliging zijn dan trouwens bijna twee tegenpolen, wat dat betreft misschien juist goed om ze in 1 instantie te zetten zodat er niet alleen machtspelletjes komen.

Ook bij dit initiatief vraag ik me af hoeveel mensen hiervan op de hoogte zijn. Wat een leuk feit is, is dat er plannen zijn om op scholen lessen te geven in veilig internetten. Hoe en wat er precies gaat gebeuren weet ik niet, maar het zou een goede invulling kunnen zijn om het mentaliteitsprobleem (gedeeltelijk) op te kunnen lossen.

Zeker \o/
Als de leraren hier iets over kunnen zeggen trouwens.

Wat ik eruit kon opmaken, leek het gewoon een AP zonder WEP en MAC filtering, laat staan VPN. Wanneer je dit soort dingen zo installeert, en daarna aankomt met het commentaar dat een instantie heeft gekeken naar de veiligheid (of er additionele maatregelen nodig waren), dan vraag ik me toch af waar we mee bezig zijn.

Da's waar ook. Ik mag hopen dat dat geld voor dat onderzoek terug is gevraagd met een dikke claim er bovenop

Duur is slechts een afweging, en ik denk dat de focus teweinig op veiligheid heeft gelegen. Ik heb geen inzicht in de situatie bij bijv. een bank, maar transacties wil je toch ook niet via Internet laten verlopen? Ik zou daar op z'n minst een dedicated lijn voor willen. Weet je zeker dat er niemand met je data kan klooien.

Yup, ben ik met je eens. Betalingsverkeer via banken ligt trouwens wel wat veiliger

Ik geloof in in ieder geval sommige gevallen ook nog steeds fysiek gescheiden waar ik het eerder over had: op tape zetten, naar de andere kant van de kamer lopen en daar de tape met bijv. betalingsgegevens er weer in zetten.
Overigens is een dedicated line geen garantie voor tamper-proof zijn als we het hebben over heel veel geld (banken) of doelwitten van "terrorisme": als je echt wilt kan je zelfs (gruwelijk simpel gesteld) een stuk grond openleggen om de kabel te splitsen.

Wanneer het gaat over landelijke electriciteitsvoorziening wil ik toch wel dat er een betere beveiliging is dan dat ik op http://apparaat.eneco.nl even mijn parameters kan wijzigen. Wat ik hiermee bedoel is dat de beveiliging van zaken die zo veel afhankelijkheden hebben, en zo belangrijk zijn (als het ware de motor voor de rest van de samenleving, denk aan electriciteit nu, internet nu maar zeker ook in de toekomst) gewoon GOED geregeld moeten worden, dat er niet gesniffed wordt door een wardriver etc.

Er is - hoop ik - een groot verschil tussen de systemen die we open zagen staan (nou ja, de suggestie daarvan dan), de systemen die bijvoorbeeld de administratieve en financiele zaken tussen energieleveranciers afhandelen en de systemen die de echte distributie afhandelen.

Nou, uit deze documentaire bleek wel dat de (grote? belangrijke?) jongens het niet op orde hebben.

Zeker erg fout. Maar (nogmaals: hopelijk) waren dit geen netwerken waar serieus misbruik van kan worden gemaakt die echt Nederland als land kunnen ontregelen. Dat er zoveel kan worden geettert dat een slachtoffer erg veel kosten krijgt of zelfs over de kop gaat is een tweede, dat is hun eigen keuze.

Ik denk dat een keurmerk (een sticker op een wifi-apparaat) een vals gevoel van veiligheid geeft. "Mijn accesspoint heeft het 100%veilig certificaat, dus ik ben veilig" terwijl ze WEP niet aan hebben, dat idee.

Een keurmerk as in een certificaat (dus na controle) en daarbij actieve controle en naleving om deze certificaten te mogen gebruiken, dat zou wat zijn. Moet je wel mensen met clue hebben, en als een instantie het netwerk van 2Vandaag of Rijkswaterstaat (weet niet meer welke) heeft gecontroleerd en dit advies geeft, vraag ik me af welke instantie dan wel een goede controle moet gaan doen

Eens en eens. Daarnaast is een hardwarekeurmerk amper de moeite denk ik. Het gaat om de processen en netwerken / netwerkafhankelijkheden. Inclusief de fysieke kanten. Zelfs als de hardware volkomen veilig is ingericht, zegt dat nog niets over het feit dat je gewoon naar binnen kunt lopen om het postitje met het wachtwoord van de VPN verbinding van de monitor van de secretaresse te plukken.

Enig controle orgaan zou dan ook IMHO zeker geen KEMA-keur-achtig iets moeten zijn, maar eerder certificering vergelijkbaar met pak-em-beet ISO9001 (maar dan verplicht).

Maar goed, er zijn zijn al vele bedrijven die IT security audits doen voor grotere bedrijven. Zie ook het goedgekeurde netwerk in de uitzending

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 5 juni 2004 18:01

Acties:

blackd

Topicstarter

F_J_K schreef op 05 juni 2004 @ 17:24:
Heel weinig mensen in de doelgroepkennen het volgens mij, maar hoe los je dat op? Doodgooien met statusmeldingen heeft geen zin, nu wordt er ook al niets gedaan als er minutenlang iets over Sasser op het journaal komt.

Tja het ligt eraan waar 'we' die verantwoordelijkheid neerleggen.
Kijk bijv. naar iets als Sasser. Er is een OS wat veelgebruikt wordt, en daar is een lek in gevonden. Dat lek moet gedicht worden. Dat moet de gebruiker doen. Of moet het OS dat doen? Zoals je net al zei: autoupdate is niet altijd wenselijk. Of moet het OS van te voren beter voorbereid zijn op mogelijke fouten? Bij wie leg je die verantwoordelijkheid, bij de gebruiker (patchen) of bij de softwarebouwer (dusdanig programmeren dat lekken weinig kans maken, inbouwen dat SMB niet over 't inet mag, dat soort dingen).

Zelfde als met dit Wifi verhaal, leg je de verantwoordelijkheid bij de gebruiker (moet wep/wpa/vpn aanzetten) of zorg je ervoor als fabrikant dat de gebruiker wel MOET beveiligen, wat door ndeleeuw al voorgesteld is. Bijv. dat je een AP alleen aan de LAN kant kan configgen, en dat je dan een wizard moet doorlopen die gelijk security aanzet (typ een wachtwoord in, check of dat sterk is, doe dat ook met de ssid, vul mac adressen in etc etc).

En yup, een enkele dienst. Privacy en beveiliging zijn dan trouwens bijna twee tegenpolen, wat dat betreft misschien juist goed om ze in 1 instantie te zetten zodat er niet alleen machtspelletjes komen.

Hoorde gister een leuke uitspraak dat wie z'n privacy inlevert om veiliger te worden, dat die beide kwijt is. Weet niet meer precies waar ie vandaan kwam, maar vind hem hier ook wel toepasselijk.

Maargoed, ik denk dat dat een kwestie van afwegen is, en dat dat welliswaar door twee polen moet gebeuren, maar niet met die eindeloze debatten.

[veilig internetten op school]
Als de leraren hier iets over kunnen zeggen trouwens.

Bedoel je qua informatie die leraren overbrengen op hun docenten, of leraren hier die meer info hebben erover? Aan het eerste twijfel ik namelijk nogal

.

Overigens is een dedicated line geen garantie voor tamper-proof zijn als we het hebben over heel veel geld (banken) of doelwitten van "terrorisme": als je echt wilt kan je zelfs (gruwelijk simpel gesteld) een stuk grond openleggen om de kabel te splitsen.

Inderdaad, maar als 't over 't Internet gaat maak je het wel erg onveilig.

Zeker erg fout. Maar (nogmaals: hopelijk) waren dit geen netwerken waar serieus misbruik van kan worden gemaakt die echt Nederland als land kunnen ontregelen. Dat er zoveel kan worden geettert dat een slachtoffer erg veel kosten krijgt of zelfs over de kop gaat is een tweede, dat is hun eigen keuze.

Ik vraag het me af of dat hun eigen keuze is. Managers hebben natuurlijk niet overal verstand van, en halen kun expertise bij onafhankelijke bureaus vandaan, zoals het wifi netwerk wat getest was, en waar geen maatregelen nodig waren.
Nou is het natuurlijk de vraag in hoeverre het commentaar van de eigenaar van dit netwerk daadwerkelijk waar is, maar als dat zo is, zijn ze behoorlijk bedrogen. Is het dan hun keus om hun netwerk zo open te laten? Dan kom je ook weer een beetje terug op het punt van de consument: wie moet wat weten en waarom? Moet een consument weten hoe hij zijn netwerk beveiligt? Hoe dan?

Maar goed, er zijn zijn al vele bedrijven die IT security audits doen voor grotere bedrijven. Zie ook het goedgekeurde netwerk in de uitzending

En daar moeten we ons misschien nog wel het meeste zorgen om maken...

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zaterdag 5 juni 2004 23:52

Acties:

crisp

Devver

Pixelated

Het grootste gevaar bij bedrijven komt niet van buiten maar van binnenuit. Inside knowledge, het bekende post-itje met wachtwoorden, mensen die zomaar hun prive-laptop kunnen inprikken etcetera.
De bedrijven die laatst zo getroffen waren door Sasser zijn tien tegen een van binnenuit besmet geraakt.

Intentionally left blank

zondag 6 juni 2004 02:09

Acties:

blackd

Topicstarter

crisp schreef op 05 juni 2004 @ 23:52:
Het grootste gevaar bij bedrijven komt niet van buiten maar van binnenuit. Inside knowledge, het bekende post-itje met wachtwoorden, mensen die zomaar hun prive-laptop kunnen inprikken etcetera.

Dat weet ik nog zo net niet. Het is -denk ik- voor een terroristische beweging veel aantrekkelijker en makkelijker om via internet (of een wlan) toegang te krijgen, dan doodleuk het filiaal binnen te lopen om de boel overhoop te halen.

De bedrijven die laatst zo getroffen waren door Sasser zijn tien tegen een van binnenuit besmet geraakt.

Of het nou van binnen- of van buitenuit is, het blijft slecht beheer, en daar moet wat aan gebeuren. Net als bij de slecht beheerde netwerken van Rijkswaterstaat en KLM. Ook dan blijft de vraag: waarom waren de systemen niet goed beheerd?

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 6 juni 2004 14:06

Acties:

crisp

Devver

Pixelated

blackd schreef op 06 juni 2004 @ 02:09:
[...]
Of het nou van binnen- of van buitenuit is, het blijft slecht beheer, en daar moet wat aan gebeuren. Net als bij de slecht beheerde netwerken van Rijkswaterstaat en KLM. Ook dan blijft de vraag: waarom waren de systemen niet goed beheerd?

Daar heb ik wel een theorie over: je praat over grote logge organisaties waarbinnen iedereen zich met z'n eigen stukje bezighoud en er niemand is die zich verantwoordelijk wil voelen voor het grotere geheel. De enorme bureaucratie binnen dat soort ondernemingen maakt ook dat je daar niet zo 1-2-3 dingen voor elkaar krijgt.
Daarbij speelt gebrek aan visie een rol. De hoge heren met de mogelijkheden om dingen te veranderen hebben de kennis niet, en de mensen met de kennis hebben de mogelijkheden niet, en daartussen zit een enorme kloof.

Intentionally left blank

zondag 6 juni 2004 14:28

Acties:

Nvidiot

notepad!

blackd schreef op 05 juni 2004 @ 18:01:
[...]
Hoorde gister een leuke uitspraak dat wie z'n privacy inlevert om veiliger te worden, dat die beide kwijt is. Weet niet meer precies waar ie vandaan kwam, maar vind hem hier ook wel toepasselijk.

"They that can give up essential liberty to obtain a little temporary safety deserve neither liberty nor safety." -- Benjamin Franklin, 1759

Die bedoel je

Een oude uitspraak die nog altijd ZEER actueel is

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)