Er zijn voldoende security experts (hackers) met een "Bewijs
van Goed Gedrag" (terecht) verstrekt door locale overheden.

Onethische hacker = Cracker!
Ethische hacker = Security Expert!

De "security professionals" waar Hanvey het over heeft staan
buiten de realiteit en prediken in 90% van de gevallen ONZIN!
Ook is deze groep "professionals" verantwoordelijk voor het
hypen van security items. Slechts een selecte groep van deze
" professionals" is integer en is eerlijk tegen zijn werk- /
opdrachtgever.

Het hacken van je eigen netwerk is niet verboden (zelfs aan
te raden!) en brengt heel veel kennis naar de onderneming om
daarmee een security-policy uit te rollen.

Het hacken van je eigen netwerk is niet verboden zolang het inderdaad jouw eigen netwerk is. Zodra je werkt voor een bedrijf (als secprof) en je hackt het netwerk doe dat dan MET toestemming (schriftelijk) anders kan het wel eens heel anders aflopen dan je denkt. Ook al heb je de beste bedoelingen.. Managers en directie willen wel eens veranderen en daarmee ook de opvattingen over bepaalde zaken.

Zucht en vandaar dat Microsoft op de Conferentie in Kuala
Lumpur IE7 vertoonde aan de hacker om eventuele bugs eruit
te vissen en security leaks.

Vandaar dat Via zijn Strongbox laat testen door Hackers.

Waarom liepen er 400(!) Scouts op HAL2005 ? Niet omdat ze zo
risky zijn.

Zullen we nog even door gaan ?

i rest my case

Vandaar dat het is aan te raden! aan je werk- /
opdrachtgever uiteraard..;)

Indien er een goede security-policy is uitgerold gebeurd een
test-hack minstens twee keer per jaar, dan weet iedereen
waar hij/zij aan toe is, werkgever en werknemer.

Goede interne-communicatie is voor iedere onderneming van
levensbelang.

Bugs = voor ontwikkelaars niet voor hackers.

Strongbox test = NIET representatief.

400 scouts?? haha... zoveel "experts" lopen er niet op HAL2005

Ik klim terug in mijn koffer.

Een bewijs van goed gedrag is in veel gevallen niet voldoende. Het is een
papiertje dat iedere gemeente af zal geven als er geen directe strafbare
feiten van in het algemeen minder dan 5 jaar op je naam staan. Dit is
aardig als het om een bedrijf gaat dat wat minder strategisch op de markt
ligt maar voor een organisatie die echt integere mensen wenst te hebben
zal er een screening op één van de 4 niveaus van de staat nodig zijn.
Behalve een eventueel strafblad worden dan ook alle mogelijke invloeden
uit de omgeving bekeken die iemand eventueel in de verleiding zou
kunnen brengen tot.
Ik zou niet graag een ongescreende hacker (hoe etisch hij ook is) aan de
staatsgeheime documentatie willen laten komen.

Kortom het is geheel afhankelijk hoe een organisatie zijn eigen strategisch
belang inschat en eventuele kosten van screeningen daar tegenover wil
zetten.

http://news.com.com/Microsoft+meets+the+hackers/2009-1002_3-5747813.html

Even 1 van de nieuws artikelen, bovendien weet ik zelf uit
eigen ervaring dat veel meer bedrijven dit doen maar het
misschien niet aan de grote clock hangen.

Of dacht je nou werkelijk dat op Bevoorbeeld HAL2005 en
HackInTheBox ( Kuala Lumpur ) zulke sponsors ( Juniper ,
ISS, NSS & Transiton) had zonder zelf scouts in te zetten ?
Lijkt me naief

Bij het uitrollen van een security policy heb ik maar wat vaak gezien dat
zowel het bedrijf als de EDP'ers geen duidelijk kader hebben vastgesteld
waarop een penetratietest moet zijn gebaseerd. (fysieke gebouw
beveiliging, social engeneering, PABX scans, netwerk scans, penetratie
vanuit een medewerker profiel, penetratie van buitenaf en zo kan ik nog wel
even doorgaan.)

Waneer dit soort pentests niet goed worden ingevuld ontstaat een gevoel
van schijn veiligheid. (er is toch een 'expert' geweest die naar ons netwerk
heeft gekeken)
Daarnaast als er een goede pentest wordt uitgevoerd zullen meerdere
dicipines nodig zijn en is één 'security expert/ hacker' niet voldoende.

Dus was er GEEN (goede) security-policy.

Je hebt volkomen gelijk dat dit niet door een enkele
"security-expert" kan worden uitgevoerd, dat is teamwork!

100% veiligheid bestaat niet, dat weten we toch allemaal?

Een goede security-policy start met een goede analyse!

Goede communicatie scheelt ook een hoop "vingerwijzen" dat
nu veel gebeurt binnen de security branche.

Schijnveiligheid = een Chinese 4X4 ;) (thanks SirDice ;)

Je bedoelt Chinees ;)

Hmm, ik was 18 jaar toen ik via een exploit een website een
deface gaf. Ben nu 36 en wijzer geworden, ik heb tenslotte
een hyphoteek :)
Ik weet hoe hackers denken, ik ben zelf ook zo dom geweest.
Ja kiddo's,het is dom en onverantwoordelijk (en arrogant,
zoals ik ook was)
Of een omgeving is slecht ingericht of in beheer door slecht
geinfomeerde beheerders (tjezus, wat een understatement).
That's it. Een easy target ? Hell yeah ! Alhoewel ik nu
ouder ben weet ik hoe het is aan de "andere kant"
JA ! It takes one to get one. De methodes en denkwijze zijn
nog _steeds_ hetzelfde. De fouten en incompetentie ook.
Zoals ik eerder schreef, ik ben nu......ach, eigenlijk
hetzelfde, alleen....voorzichtiger ?...
Dus. Hier ben ik. 36 jaar en tot inzicht gekomen. Ben ik
daarom slecht ??.

Zijn informatiebeveiligers dan wel te vertouwen? Zolang er nog geen
wettelijke verplicht screening voor informatiebeveiliger is, blijven ook zij niet
te vertouwen.

Massa’s ITer worden tegenwoordig omgeschoold tot informatiebeveiliger,
CISSPer etc. ( kijk maar eens een stuk je verder op deze site. )

Door dit fenomeen is het voor kwaadwillende erg eenvoudig om de wereld
van informatiebeveiliging te betreden. Privacy gevoelig informatie ligt voor
het grijpen!!

De oplossing is een wettelijke verplicht screening voor
informatiebeveiligers, net zoals nu al voor beveiligingsbeambte, particulier
rechercheurs en horeca portiers gebeurd.

@Leon van der Eijk

Je bent nu 36. Dus je geboorte jaar is 1969. Toen je 18 was heb je een
site gehackt. Dat was dus het jaar 1987.


Hierbij heb je je geloofwaardigheid verspeelt.

Door leken en computercriminelen worden hackers vaak
tendentieus en ten onrechte met computercriminaliteit
geassocieerd.
http://nl.wikipedia.org/wiki/Hacker
Er kan dus worden gesteld dat het beschrijvend misbruik van
de term in Van Dale inmiddels de norm is geworden en het
onder deze invloeden door de jaren heen blijkbaar van
betekenis is veranderd.

Hierdoor kun je je afvragen of de onduidelijke term niet
beter geheel vermeden kan worden en voortaan het beestje
onverbloemd helder bij naam te noemen.

To the point lijkt het mij niet verstandig om
(ex-)(computer)criminelen aan te stellen die veroordelingen
op hun naam hebben danwel waarvan bekend is dat zij in het
verleden bijvoorbeeld site's wederrechtelijk gedefaced
hebben. Ik zou er althans het vertrouwen zeer waarschijnlijk
niet voor op kunnen brengen. Natuurlijk is dat subjectief.
Screening kan daar bij helpen, maar is dat objectief niet
waterdicht daar het momentopnamen betreft die in wezen op
zichzelf staand ook geen garanties voor de toekomst biedt.

Kijk bijvoorbeeld naar het gezinsdrama van enige maanden
geleden waarbij een politieagent zijn gezin ombracht. Die
was ook voor zijn dienstbetrekking door de molen gehaald en
okay bevonden. Andersom zal het wellicht ook mogelijk kunnen
zijn dat iemand die in het verleden een fout heeft begaan,
inmiddels wel een verstandig eerbiedig burger is.
Hieruit blijkt kennelijk de onvoorspelbaarheid van de
grillen van de mens, moeilijk vast te stellen en eigenlijk
niet 100% te garanderen.

Security is volgens mij vooral een delicaat proces van
vertrouwen en frequente (her)evaluatie.

Om nog maar te zwijgen over het bestaan van het woord "Website"
of "Defacen" in 1987....

Remember this? http://www.w3.org/Protocols/HTTP/HTTP2.html

Ik ben het er mee eens dat er een wettelijke verplichting zou moeten
komen voor informatiebeveiligers. Zoals eerder al gesteld een papieertje
als CISSP is voor iedereen met wat kennis van zaken te halen, dus ook
iemand die kwaad willend is.

De Nederlandse staat kent al 4 niveaus van screening. Overigens is dat
niet helemaal een moment opname. In de meest uitgebreidde screening
zoals ik die gehad heb word je hele levensloop overhoop gehaald en niet
alleen naar je geschiedenis gekeken maar met name probeert men in te
schatten hoe groot de kans is dat iemand bv chanteerbaar is dan wel in de
verleiding kan komen tot. hiertoe worden bv alle contacten die je hebt en
had in kaart gebracht en eveneens op antecedenten nagelopen.
Uiteraard is dat nog steeds niet 100% waterdicht en dat zal ook nooit
mogelijk zijn. Het is alleen het in kaart brengen en accepteerbaar maken
van de dan geinventariseerde risicos.
Grootste probleem van deze screenings zijn de tijd en kosten. Een
uitgebreide screening neemt al gauw 6 maanden in beslag en kost om en
nabij de 15.000 euro.
Daarom blijft van kracht dat het afhanklijk is welk niveau de strategische
belangen van een bedrijf en zijn informatie hebben en hierop dienen eisen
die aan de beveiligers worden gesteld te zijn afgestemd.
Mogelijk dat er een classificatie voor informatiebeveiligers moet komen die
niet alleen naar de kennis maar ook de integriteit en risicos kijkt.

Je verloochent jezelf. Arrogantie op jonge leeftijd is niet voor niets, het is de
drijvende kracht achter het aankunnen van de leercurve. Natuurlijk is het
defacen van een site niet echt zo'n presentatie ;-) het ligt eraan welke kennis
je daarbij nodig hebt. Maar ik denk dat de arrogantie dat de meeste jonge
personen hebben helpt bij het hebben van zelfvertrouwen dat je iets kunt
begrijpen. Dingen die op het eerste gezich te moeilijk lijken, sommigen
geven het meteen al op, anderen storten zich erin.

Het gaat er om dat screening geen
blind vertrouwen in de hand werkt. Dat is wellicht
het meest integriteit bedreigende. Iemand kan tot in de
hoogste graad gescreend zijn en toch niet of niet geheel
integer.
Daar
kunnen geen bezwaren tegen bestaan.
Geheel mee eens maar komt daar meer bij kijken dan slechts
screening.