image

De zes domste security ideeën

maandag 12 september 2005, 09:41 door Redactie, 12 reacties

Het security landschap blijft zich ontwikkelen. Nieuwe aanvalstechnieken, maar ook nieuwe oplossingen en produkten verschijnen regelmatig. Ondanks alle security kennis die in de afgelopen decennia is opgebouwd blijft men dezelfde fouten maken. Fouten die gemaakt worden door bedrijven die de situatie niet begrijpen of handige ondernemers die snel geld willen verdienen en nutteloze oplossingen aanbieden. Hoe het ook zij, deze domme ideeën zorgen ervoor dat al het geld wat men besteedt aan security een verspilling is. Dit artikel beschrijft de zes meest voorkomende ideeën en legt uit hoe ze vermeden moeten worden.

1. Default Permit: Het standaard toestaan of verbieden van bepaalde services, bijvoorbeeld bij een firewall.
2. "Enumerating Badness": Het beschrijven en blokkeren van specifieke malware in plaats van alleen "goede" dingen toestaan.
3. Penetrate en Patch: Patchen van software in plaats van veilige programma's en procedures ontwikkelen.
4. Hacking is cool: IT professionals die denken dat kunnenhacken handig is, terwijl men meer de nadruk op het veilig ontwerpen en hack-bestendig maken van het systeem moet leggen.
5. Onderwijzen van gebruikers: Het leren van gebruikers is een verspilling, mensen moeten dit uit zichzelf doen.
6. Actie is beter dan niets doen: Het is makkelijk om niet iets doms te doen dan iets verstandig.

Reacties (12)
12-09-2005, 10:47 door Anoniem
5. Onderwijzen van gebruikers: Het leren van gebruikers is
een verspilling, mensen moeten dit uit zichzelf doen.

Onderwijzen van gebruikers is toch wel erg belangrijk
vandaag de dag dus ik begrijp niet dat er zo mee gespot word.
12-09-2005, 11:21 door Anoniem
Ja dat gespot met gebruikers snap ik ook niet. Men moet zich wel
realiseren dat security allemaal leuk is maar uiteindelijk wil je dat wat je
beveiligt ook wel kunt gebruiken. Wanneer gebruikers begrijpen wat de
bedoeling is heb je uiteindelijk meer beveiliging dan dat je maar allerlei
technische dingen verzint die de gebruiker, jouw klant niet wil of kan
begrijpen.
12-09-2005, 11:30 door Anoniem
Dit is duidelijk opgesteld door iemand die er heilig van overtuigd is dat je of
veilig bent, of onbeveiligd.
Beveiliging werkt niet zo. Wie dat wel denkt is zelf te kortzichtig bezig om de
impact en het doel van beveiliging te begrijpen. Het gaat om de combinatie
van toegepaste beveiliging oplossingen die een systeem of netwerk veilig
maken.
Het opgenoemde is in veel gevallen op zich helemaal niet dom, zolang je
maar een goede reden hebt om het als beveiliging te gebruiken. Het is
uiteindelijk niet de oplossing die de slimheid bepaald maar de
achterliggende gedachte die aangeeft wanneer het voor de eigenaar veilig
genoeg is.
12-09-2005, 11:33 door Anoniem
Door Anoniem
5. Onderwijzen van gebruikers: Het leren van gebruikers is
een verspilling, mensen moeten dit uit zichzelf doen.

Onderwijzen van gebruikers is toch wel erg belangrijk
vandaag de dag dus ik begrijp niet dat er zo mee gespot
word.

Als gebruikers zelf verantwoordelijk worden gesteld voor de
schade, die zij aanrichten aan hun computer werkplek, dan
zullen zij geneigd zijn om zichzelf te laten informeren hoe
zij dat het beste kunnen doen. Als een ICT afdeling
verantwoordelijk is voor die schade, dan kan deze afdeling
haast niets anders doen dan vrijheden van gebruikers zo
inperken, dat zij haast niets meer kunnen doen.
Is een computerwerkplek niet gewoon een hulpmiddel om je
werk uit te kunnen voeren, net zoals een vorkheftruck dat is
voor een magazijnmedewerker? En wie heeft er een probleem
als de vorkheftruck total-loss wordt gereden?
12-09-2005, 11:41 door Anoniem
5. Onderwijzen van gebruikers: Het leren van gebruikers is een verspilling,
mensen moeten dit uit zichzelf doen.

Hiermee wordt bedoelt dat men een interface zo ontwikkeld dat
onderwijzen niet meer nodig is. Ik vermoed dat dit meer een idealisme is
dan een werkelijke mogelijkheid.
12-09-2005, 12:08 door Anoniem
Door Anoniem
5. Onderwijzen van gebruikers: Het leren van gebruikers is
een verspilling,
mensen moeten dit uit zichzelf doen.

Hiermee wordt bedoelt dat men een interface zo ontwikkeld dat
onderwijzen niet meer nodig is. Ik vermoed dat dit meer een
idealisme is
dan een werkelijke mogelijkheid.

Veel 'gebruikers' om mij heen raken in paniek zodra ze iets
moeten kiezen (bijvoorbeeld een popup die er vanuit
veiligheidsoverwegingen inzit). Als ik ze dan vertel dat ze
even rustig moeten lezen wat er staat en ze vervolgens vraag
wat ze denken dat daarmee bedoelt wordt hebben ze het
vrijwel altijd goed, maar zonder dat iemand ze even vertelt
adem te halen, te lezen, en even normaal na te denken, gaat
het meestal mis. Dat heeft niet zozeer met interface te
maken maar met paniek, en te snel opgeven (en dan maar iets
te klikken, meestal 'ja').
12-09-2005, 12:12 door Anoniem
Door Anoniem
5. Onderwijzen van gebruikers: Het leren van gebruikers is een
verspilling,
mensen moeten dit uit zichzelf doen.

Hiermee wordt bedoelt dat men een interface zo ontwikkeld dat
onderwijzen niet meer nodig is. Ik vermoed dat dit meer een idealisme
is
dan een werkelijke mogelijkheid.
Dat denk ik ook, er bestaat geen interface die zo simpel is dat iedereen
het begrijpt en imho zal die er ook nooit, in elk geval niet op korte termijn
komen. Maar zelfs als die er is kan het geen kwaad dat je gebruikers
weten waar het over gaat. En waarom zouden ze dat niet mogen weten.
12-09-2005, 12:19 door Anoniem
Door Anoniem
Ja dat gespot met gebruikers snap ik ook niet.
Spotten met gebruikers:

idee 1: default permit
Dit slaat vooral op firewalls en op het standaard kunnen
uitvoeren van allerlei code op je machine.

idee 2: enumerating badness
Alle aandacht gaat uit naar het tegenhouden van 'slechte'
software i.p.v. het toestaan van 'goeie' software. Dus
steeds nieuwe viruslijsten met 75K signaturen i.p.v. een min
of meer stabiele lijst met 30 apps die wel mogen. Beetje in
het verlengde van punt 1 eigenlijk.

idee 3: penetrate and patch
Dat beveiliging niet in het ontwerp wordt meegenomen en vaak
onder (commerciële) tijdsdruk het ondergeschoven kindje is
met alle narigheid van dien. Vergelijk producten met een
goede veiligheidsgeschiedenis (Postfix) met b.v. producten
met een extreem slechte (IE).

idee 4: hacking is cool
Eigenlijk niet dus, vindt de schrijver. Hij kaart een in
feite maatschappelijk probleem aan.

idee 5: educating users
Hij vraagt zich af of opvoeding veel zin heeft omdat de
helft van de internettende wereldbevolking graag linkjes
volgt naar naaktplaatjes van bepaalde dames. Hij vraagt zich
af of de benadering wel klopt, stelt gewoon dingen vast. Ik
zie niet waar hij spot met gebruikers in het algemeen.

idee 6: action is better than inaction
Over het wel of niet vroeg opnemen van nieuwe technologie.

Het ligt vast aan mij maar ik zie niet waar de schrijver
spot met gebruikers.


Men moet zich wel realiseren dat security allemaal leuk is
Misschien is het belang van security wel in geld uit te
drukken. Hoeveel schade heeft de wereld de afgelopen 20 jaar
geleden door virussen, malware en instabiele software?

maar uiteindelijk wil je dat wat je beveiligt ook wel kunt
gebruiken. Wanneer gebruikers begrijpen wat de
bedoeling is heb je uiteindelijk meer beveiliging dan dat je
maar allerlei
technische dingen verzint die de gebruiker, jouw klant niet
wil of kan
begrijpen.
Gebruiksgemak en veiligheid staan in principe haaks op
elkaar inderdaad. Soms zul je dus dingen moeten verbieden
voor veiligheid en dan zul je dat de gebruikers moeten
uitleggen omwille van het 'draagvlak'.
Aan de andere kant maakt het verschil welk gereedschap je
gebruikt voor een klus. Prettig surfen kan in principe
behoorlijk veilig met FireFox en Opera en in principe niet
met Internet Explorer. De techniek doet wel degelijk ter
zake. Kijk ook weer naar de verschillen tussen Sendmail en
Postfix bijvoorbeeld.
12-09-2005, 12:49 door Anoniem
1. Default Permit: Het standaard toestaan of verbieden van
bepaalde services, bijvoorbeeld bij een firewall.

Laten we kort zijn. Alles toestaan is vragen om problemen. Alles
dichtzetten ook. Maar de veelgebruikte zaken die absoluut niet
nodig zijn, dichtzetten. Afhankelijk van de situatie moet dit
aangepast worden.


2. "Enumerating Badness": Het beschrijven en blokkeren van
specifieke malware in plaats van alleen "goede" dingen toestaan.

Mwah wel goed dunkt me. Alleen betrek je gebruikers erbij. Anders
krijg je alleen klachten dat iets niet werkt. Als men de reden weet
waarom iets niet kan, legt men zich er wel bij neer.


3. Penetrate en Patch: Patchen van software in plaats van veilige
programma's en procedures ontwikkelen.

Grappig.... Dit zegt indirect dat we te afhankelijk zijn..... (vul zelf de
rest maar in)


4. Hacking is cool: IT professionals die denken dat kunnenhacken
handig is, terwijl men meer de nadruk op het veilig ontwerpen en
hack-bestendig maken van het systeem moet leggen.

mwah. wel redelijk. Als een beheerder weet hoe een aanval eruit
kan zien, kan hij zich ertegen wapenen. Ik zeg hierbij niet dat ie zelf
moet kunnen hacken, maar wel dat ie moet weten hoe aanvallen
gemaakt kunnen worden zodat ie rekening kan houden met de
zwakste schakels..


5. Onderwijzen van gebruikers: Het leren van gebruikers is een
verspilling, mensen moeten dit uit zichzelf doen.

En dat is nou iets wat nooit zal gebeuren. En als het gebeurd, steekt
men er niets van op anders dat de kantine goede maaltijden had of
juist niet. Waarom ? Omdat men geen verantwoordelijkheid heeft.
Als het niet werkt klaag je toch bij de beheerder. Is geweldig want
dan hoef je ook geen werk meer te doen en kun je gewoon
"aanwezig" zijn.

6. Actie is beter dan niets doen: Het is makkelijk om niet iets doms
te doen dan iets verstandig.

Tuurlijk is het makkelijk om niets te doen. Soms gewenst, soms niet.
Dit gaat samen met verantwoordelijkheid. Soms is het beter om
iemand te laten merken dat ie bepaalde zaken niet moet doen. We
leren nog steeds van fouten.


Conclusie :
- het stukje kun je niet zo uitleggen als je zelf wilt.
- security land is niet zwart wit
- waar ligt de verantwoordelijkheid


Security werkt alleen als je duidelijk maakt waar je het voor doet, je
gebruikers erbij betrekt en ze ook verantwoordelijk maakt voor hun
eigen systeem. Dat is in mijn ervaring het beste.

Alles dichtzetten betekent de verantwoording naar de beheerder,
ipv de gebruikers. Verder wordt het dan interesant om er toch
doorheen te komen.

Alles open laten staan betekent verantwoording bij de gebruiker.
Uiteindelijk komt de verantwoording bij de beheerder, maar via
andere wegen en daar gaat meestal een hoop irritatie aan vooraf.

Betekent simpelweg dat zonder overleg de zaken niet gaan
werken.
12-09-2005, 13:16 door Anoniem
nummer 7: een besturingssysteem van MS gebruiken :)
12-09-2005, 16:08 door Anoniem
7. de artikelen op security.nl té serieus nemen.

8. de reacties op de artikelen op security.nl té serieus te
nemen.

9. de hierboven genoemde advies nummer 7. op te volgen
14-09-2005, 03:51 door Nabulafia
Het ligt vast aan mij maar ik zie niet waar de schrijver
spot met gebruikers.[unquote].
... ik evenmin. Je bent dus niet alleen. Bedenking : Is een samenvatting
zoals die van jou voor de redactie te hoog gegrepen?

5. Onderwijzen van gebruikers: Het leren van gebruikers is een
verspilling, mensen moeten dit uit zichzelf doen.
[unquote]
Ik lees die paragraaf toch wel anders.
Er staat :
"The real question to ask is not "can we educate our users to be better at
security?" it is "why do we need to educate our users at all?"
en :
"Most of the problems that are addressable through user education are
self-correcting over time. As a younger generation of workers moves into
the workforce, they will come pre-installed with a healthy skepticism about
phishing and social engineering."
en :
"My prediction is that in 10 years users that need education will be out of
the high-tech workforce entirely, or will be self-training at home in order to
stay competitive in the job market."

Dat lijkt me toch iets heel anders te zijn dan "is een verspilling, mensen
moeten dit uit zichzelf doen". De auteur geeft hier zijn visie over de evolutie
van de gebruiker, over 'de gebruiker van de volgende generatie' a.h.w.
In dat verband : Jantje kan beter met de DVD overweg dan opa -die kan
met die nieuwigheden niet zo overweg. Anderszijds mag opa dan wel
dingen kijken die voor Jantje verboden zijn -althans tot op een bepaalde
leeftijd. Als Jantje dat verbod overtreedt wordt hij gestraft -mag tijdelijk ook
niet meer kijken naar wat hij wel zou mogen zien. Als Jantje Jan geworden
is en zelf een kleine Jan in huis heeft...
Mutatis mutandis is dit verhaaltje misschien ook wel op
computergebruikers van toepassing.

Patrick.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.