Gonggrijp: hackers moeten wereld veiliger maken
Het is aan hackers om de wereld een betere en veiligere plek te maken, zo sloot Rop Gonggrijp de eerste dag van de Hack in the Box conferentie in Amsterdam af. Zowel bedrijven als overheden maken een potje van security. De ene na de andere IT-ramp doet zich voor en tal van systemen beschikken over gebrekkige security, als ze al over security beschikken. "Dat komt omdat ze op security gokken", stelt Gonggrijp. "Als ze winnen houden ze het geld van de gok. Verliezen ze, dan krijgen wij als maatschappij de rekening." In de huidige maatschappij verwachten bijvoorbeeld banken dat de maatschappij voor de opsporing en vervolging van skimmers betaalt. In de jaren 1990 hadden hackers echter al aangetoond dat betaalkaarten te skimmen waren. Toch hoopten banken dat de impact zou meevallen.
"Ze weten dat er geen gevolgen voor hen zijn." Dat geldt niet voor de maatschappij en burgers. "Wij krijgen met meer misdaad en meer surveillance te maken", ging Gonggrijp verder. De roep om repressie zit bij veel organisaties ingebakken.
Rewind
"Er is een geloof dat politie en inlichtingendiensten alles moeten zien. Dat door op 'rewind' te klikken alle problemen zijn op te lossen. Dat is een perceptie die we te zwaard en te vuur moeten bestrijden." Het hebben van een rewind-knop is echter goedkoper dan ooit. En landen hebben volgens Gonggrijp altijd dit soort oplossingen willen hebben. "De Oost-Duitsers ontwikkelden een systeem zodat ze alle schrijvers konden volgen. Zo'n systeem is nu in alle kleurenprinters aanwezig."
Volgens Gonggrijp is het dan ook opmerkelijk dat we nog steeds leven, gezien alle surveillance, die alleen maar groter zal worden. "Nu we totale surveillance kunnen veroorloven is het opeens nodig." Het leidt echter nergens toe, aldus de Nederlandse hacker. "Kun je genoeg mensen arresteren en vervolgen om zaken als misdaad terug te dringen. Het is een afleiding. We hebben echte security nodig in plaats van de surveillance waar nu om wordt geroepen."
Corruptie
Gonggrijp hekelde de corruptie waar de bevolking slachtoffer van wordt. "Corruptie is de werkelijke dreiging." De maatschappij moet echter ook zijn verantwoording nemen. "Er zijn grote olifanten in de kamer. Niemand weet wat er in de Chinese apparatuur aanwezig is. Niemand weet wat in de Israëlische aftap- of betaalsoftware zit. We uploaden allemaal onze gegevens naar de VS."
De wereld wordt volgens Gonggrijp een zooitje. "We gaan de verkeerde kant op. We zien dat ook in de cyberomgeving. De economie van zero-days." De partijen die zero-days kopen zijn geen criminelen meer, maar landen en inlichtingendiensten. En deze zero-days hebben een effect op mensen in westerse landen. Het verschijnen van vier zero-days die cybercriminelen vervolgens gebruiken zijn het gevolg van de Stuxnetworm.
"Dat zijn de gevolgen van cyberoorlog." Gonggrijp verwacht dat meer en meer beveiligingsproblemen door de inzet van cyberwapens zullen ontstaan." Daarbij is het steeds lastiger om de aanval aan iemand toe te schrijven."
Het is aan hackers en security-experts de taak om dit te bestrijden en kwetsbaarheden op verantwoordelijke manier te openbaren. Toch merkt Gonggrijp op dat hij niet cynisch wil overkomen. "Ik wil dat jullie er aan denken om een betere wereld te maken. Een veiligere, leefbare online planeet. Het verkopen van lekken aan landen en inlichtingendiensten helpt daar niet aan mee."
En om dit soort ongein te voorkomen: verwijs ik je door naar Hugo zijn reactie ;-)
De eerste lockpicker kwam vlak na de eerste slotenmaker om de hoek kijken, en het is sindsdien nooit meer anders geweest. Stelen is makkelijker dan werken, dus dat zal ook niet veranderen.
Daar ben ik het wel mee eens. Helaas, mijns inziens, is het tij niet te keren. Als persoon/bedrijf ga ik er in ieder geval voor zorgen dat we geen schade oplopen als we door de chaos heen manoeuvreren.
Zomaar twee dingen waar je van wakker dient te blijven als je de impact overziet ..... byod, cloud, en waarvoor? LEKKER MAKKELIJK en GOEDKOOP.
Helemaal geen troep maken zou ideaal zijn maar het blijft uiteindelijk mensenwerk. Er is altijd wel een bug te vinden die toegang mogelijk maakt maar vaak ligt het ook aan luie beheerders. Daarnaast zorgen bedrijfsspecifieke programma's er soms voor dat bepaalde (veiligheids-) patches niet kunnen worden uitgerold omdat het dan allemaal niet meer werkt en het bedrijf plat ligt. Ik mail 2 tot 10 bedrijven/instanties/personen per maand dat ik hun site of systeem heb "gehacked". Meestal dmv sqli wat toch echt te voorkomen is. Dat doe ik als hobby en openbaar de gegevens vooralsnog nooit. Soms wordt het lek gedicht, soms niet en soms krijg ik een boze reactie van de betreffende beheerder. Met het melden van het probleem zit mij taak er op, het vervolg is aan de beheerder.
Zero-days zijn deels te voorkomen door te testen, testen en nog eens testen. Dat kost geld en levert uiteindelijk nog steeds geen absolute zekerheid op. Kop in het zand en hopen op het beste lijkt vaak nog de meest gekozen en op het eerste gezicht goedkoopste manier. Een hoop bedrijven komen er vooralsnog (helaas) mee weg.
Natuurlijk is het de taak van ontwikkelaars, systeembeheerders en ICT-docenten om de digi-wereld veilig te maken maar ik merk dat ze vaak niet volledig op de hoogte zijn van de laatste ontwikkelingen. Die zijn er dan ook erg veel en volgen elkaar dusdanig snel op dat het bijna onmenselijk is alle aspecten van veiligheid te volgen.
Tegen landen die bedrijven verplichten een backdoor in hun hard/software te bouwen is sowieso weinig te doen buiten de betreffende producten te weren maar dat zal denk ik niet snel gebeuren.
Een volledig veilige online wereld is een utopie. Als het niet de criminelen zijn, dan zijn het de overheden wel die er voor zorgen dat die staat nooit bereikt wordt
Nee, hoor. Dat klopt niet. Het is vaak moeilijker dan werken. Het gaat bij zero days vooral om de mind-set.
Dopamine tijdens het hacken en de euforie bij het onthullen.
Dat er een markt voor is, is het gevolg....
De wereld ziet de echte hackers over het hoofd door een hoop gespuis dat zich "hacker" noemt en systemen sloopt met als reden eigen gewin.
Men moet eerst nadenken en dan pas doen ipv we doen het alvast en dan kijken we wel of het uberhaupt veilig is.
En wat betreft nieuwe dingen als BYOD en Cloud computing daar moet denk ik eerst eens goed over worden nagedacht voordat we met die onzin verder gaan.
De veiligheid en privacy van mensen die online browsen is vaak een ondergeschoven kindje heb ik het idee.
Dat mensen kunnen bestellen is belangrijker dan dat de klant gegevens veilig en safe opgeborgen zijn.
Tja, geef ze eens ongelijk zou ik zeggen, zolang de samenleving voor deze kosten op wil draaien. Over het algemeen heb je in risico management de volgende keuzes :
- Risk acceptance (je aanvaardt het risico)
- Risk mitigation (je verlaagt het risico)
- Risk elimination (je neemt het risico weg)
- Risk transfer (je draagt het risico over een een derde partij)
De laatste optie is het goedkoopst, zeker als je het risico niet op een verzekering, maar op de samenleving kan af wentelen. En gezien de manier waarop we banken uit de brand helpen bij problemen geven we hen niet echt een incentive om dit anders te doen.
dan zorgt de overheid wel met een wet dat het verboten is voor hackers om het te exploiten...
maar boeit een hacker dat......
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.