image

Schneier: "We hebben geen beveiligingsaanbieders nodig"

vrijdag 27 april 2007, 11:00 door Redactie, 24 reacties

Beveiligingsgoeroe Bruce Schneier heeft openlijk zijn twijfels over de beveiligingsindustrie uitgesproken, en laat weten dat het alleen maar de bereidheid van andere IT-bedrijven aantoont om onveilige hardware en software aan te bieden. Tijdens de InfoSec conferentie in Londen deed Schneier toehoorders verbazen met zijn uitspraak: "het feit dat deze show bestaat is een probleem. Jullie hadden hier nooit naar toe hoeven moeten komen"

Volgens de uitgesproken auteur en oprichter van Counterpane, zouden we geen bedrijven moeten vinden om onze e-mail, servers en netwerken te beveiligen, omdat e-mail, servers en netwerken al veilig zouden moeten zijn. "Beveiliging is een klein maar belangrijk deel van het groter geheel. Consumenten zouden geen produkten moeten accepteren die inherent onveilig zijn".

Graham Cluley, consultant bij virusbestrijder Sophos, noemt Schneier's visie een droom die nog lang geen werkelijkheid is. "Waarom heeft niemand hier eerder aan gedacht. Het zou fantastisch zijn als overvallen niet meer zouden plaatsvinden of aanrijdingen, maar wat je moet realiseren is dat software ontwikkelaars mensen zijn en mensen maken fouten".

Reacties (24)
27-04-2007, 11:19 door [Account Verwijderd]
[Verwijderd]
27-04-2007, 11:39 door http___www.sjaaklaan.nl
Ik volg Bruce's weblog al een tijdje, maar hoewel hij veel security missers
signaleert, heeft hij vrij weinig oplossingen.
Natuurlijk is het niet fijn dat mensen onveilige spullen kopen, maar als je
zo redeneert, zou ook niemand een auto moeten kopen, of de straat
moeten oversteken.
Niet erg pragmatisch dus.


http://www.sjaaklaan.nl
27-04-2007, 11:50 door jeed
Als we nu eens de kosten voor beveiligingssoftware en
problemen door onveilige software op de producenten van die
software konden verhalen, dan wordt het rendabel om veilige
software te schrijven. Dan krijgt Schneier gelijk.
27-04-2007, 12:21 door Anoniem
Bruce Schneier houdt van pakkende one-liners, want die trekken aandacht.
In dit geval ook. De vraag is of zijn pakkende uitspraak houdt snijdt.
De vraag is nu: kan de industrie technologisch perfecte producten maken,
zowel functioneel als veilig?
27-04-2007, 12:43 door Anoniem
ja en als we geen regen zouden hebben zouden wee ook geen paraplu
nodig hebben :-)
27-04-2007, 13:43 door [Account Verwijderd]
[Verwijderd]
27-04-2007, 14:00 door Anoniem
Door http://www.sjaaklaan.nl
Ik volg Bruce's weblog al een tijdje, maar hoewel hij veel
security missers
signaleert, heeft hij vrij weinig oplossingen.
Natuurlijk is het niet fijn dat mensen onveilige spullen
kopen, maar als je
zo redeneert, zou ook niemand een auto moeten kopen, of de
straat
moeten oversteken.
Niet erg pragmatisch dus.


http://www.sjaaklaan.nl



Waar denk je dat Bruce zijn boterham mee verdient?

Inderdaad, met de implementatie van beveiliging bij bedrijven.

De problemen signaleert hij, en voor de oplossing mag je
betalen...
27-04-2007, 14:49 door Anoniem
Door Iceyoung
Ontsla alle politie want we hebben toch een wetboek en daar
staat in wat
wel en niet mag.

DRUGS ARE BAD MR. SCHNEIER
Sja, diezelfde politici roepen zelf ook: "regels zijn
regels"... Alsof die regels er niet door en voor onszelf
zijn, maar al voor de schepping in marmer gekerfd waren. Als
alles vaststaat, hebben we geen beleidsmakers meer nodig,
alleen nog beleidshandhavers. Dat zou een stuk schelen in de
overheidsuitgaven.
27-04-2007, 16:14 door Anoniem
Door Iceyoung
Ontsla alle politie want we hebben toch een wetboek en daar staat in wat
wel en niet mag.

DRUGS ARE BAD MR. SCHNEIER

Bruce heeft er meer verstand van dan iedere 2de rangs systeembeheerder
op deze site. De beveiligings industrie is een lachertje met hun "proactieve
maatregelen". Het is in hun voordeel om matige beveiliging te leveren,
immers, sterke beveiliging zou teveel aanvallen tegenhouden waardoor
mensen mindervaak zouden upgraden en minder producten zouden
kopen.
27-04-2007, 18:46 door Anoniem
"Waarom heeft niemand hier eerder aan gedacht. Het
zou fantastisch zijn als overvallen niet meer zouden
plaatsvinden of aanrijdingen, maar wat je moet realiseren is
dat software ontwikkelaars mensen zijn en mensen maken
fouten
".

Hij bedoelt: ' dat sommige mensen hebberig zijn en die hun
winst maximaliseren door het aantal bestede uren voor een
(half) produkt te minimaliseren.'.
27-04-2007, 21:43 door G-Force
DRUGS ARE BAD MR. SCHNEIER

Tsja....leg dat Nederlandse politici maar eens uit!
27-04-2007, 22:25 door Grudge
Door Iceyoung
Ontsla alle politie want we hebben toch een wetboek en daar
staat in wat
wel en niet mag.

DRUGS ARE BAD MR. SCHNEIER

justitie en Politie zitten alleen achter de 'grote' vissen
aan...:
En inderdaad, volgens de gegevens van justitie kent
Amsterdam per stadsdeel (15) tussen de 70 en 150 cokedealers
die per persoon +/- 10 gram harddrug per dag verkopen......!

rekensommetje:

15 x 70 x 10 x 40,- = 420.000 euro omzet aan harddrug
verkoop per DAG in Amsterdam, dat is PER MAAND meer dan 12.5
MILJOEN EURO ALS MINIMUM ! (en daar heeft de staat recht op
52% inkomstenbelasting per gemeente, en dat zijn er +/-
450) en dan zijn er nog de verkopers van heroine, pillen,
softdrugs en paddo's

Nog een rekensommetje:

Belastingen: 52% van 12.5 miljoen x 450 NL gemeente's = 2.9
MILJARD euro per maand (al zou het de helft zijn) wat onze
samenleveing miisloopt aan belastingen uit drugshandel
(legaliseren die boel...)
En hier is GEEN rekening gehouden met de GROOT handelaren
van harddrugs.

Dat zou een grote bijdrage aan ons BNP kunnen zijn.......

Hint:

Een veroordeelde drug handelaar kan tevens veroordeeld worden tot een levenslange straf waar deze 85% van al zijn inkomen en vermogen moet afdragen aan de staat. (wereldwijd te incasseren)... en dat kan via de bestaande wet mulder.... (het achteraf heffen van belastingen) waarvan de sociale uitkeringen van langdurig verslaafden en daklozen betaald zou kunnen worden.. (JA, die hebben OOK rechten, en dalozen zijn niet altijd verslaafden)

Heb ik nu zojuist een wetsvoorstel van bijna 25 jaar oud publiek gemaakt..?
27-04-2007, 23:39 door Anoniem
We zouden geen beveiligingsaanbieders nodig hebben... We
hebben ook geen sloten nodig tenslotte.
28-04-2007, 11:58 door Anoniem
Door Peter V.
DRUGS ARE BAD MR. SCHNEIER

Tsja....leg dat Nederlandse politici maar eens uit!
Helemaal mee eens. Drugs zijn slecht. Verbieden die troep en
ge-/misbruik zwaar bestraffen.
29-04-2007, 14:45 door [Account Verwijderd]
[Verwijderd]
29-04-2007, 16:17 door Anoniem
Niet alleen die Schneier maar meer van die zogenaamde EXPERTS
lullen tegenwoordig uit hun nek.
Of ze weten niet beter,of ze willen het nieuws halen.
Gelukkig weten een hoop mensen zulke uitspraken niet serieus
te nemen.
Denken ze dat het klootjesvolk dom is?
Niet dus,juist zijzelf maken zich belachelijk.
29-04-2007, 21:11 door G-Force
@Beukenoot,

Helemaal mee eens. Iemand die zich EXPERT noemt vindt
kennelijk dat hij of zij is uitgeleerd. Zolang iemand ervan
uitgaat dat er nog steeds meer bijgeleerd moet worden, die
is wel op de goede weg.
30-04-2007, 08:52 door Anoniem
En toch in theoretische zin heeft hij gelijk kijk maar naar linux die geen
virusscanner nodig heeft doordat het zo goed als niet kwetsbaar is voor
virrussen.
En dat is hetzelfde met firewals in vista zit een goede firewall voor
thuisgebruik maar om de andere leveranciers van firewals niet voor het
hoofd te stoten wordt het uitbound gedeelte standaart uitgezet dat scheelt
rechtzaken.
30-04-2007, 12:25 door [Account Verwijderd]
[Verwijderd]
30-04-2007, 17:29 door Anoniem
Door Beukenoot
Niet alleen die Schneier maar meer van die zogenaamde EXPERTS
lullen tegenwoordig uit hun nek.
Of ze weten niet beter,of ze willen het nieuws halen.
Gelukkig weten een hoop mensen zulke uitspraken niet serieus
te nemen.
Denken ze dat het klootjesvolk dom is?
Niet dus,juist zijzelf maken zich belachelijk.

Beukenoot, laat me raden, jij bent systeembeheerder of "penetration
tester" of zoiets lachwekkends waar je nessus draait en een rapportje
doorgeeft?

Schneier is een van de meest vooraanstaande experts op het gebeid en
heef er vele malen meer verstand van dan jij ooit zult kunnen dromen,
maar tja, waar moet je anders jou product, de illusie van veiligheid, kwijt
he?
30-04-2007, 21:50 door Crox
die Schneier irriteert me al tijden met zijn snake-oil gelul. Een
omhooggevallen idioot zonder inhoud. Zonde om zoveel aandacht te geven.
30-04-2007, 23:14 door [Account Verwijderd]
[Verwijderd]
01-05-2007, 12:42 door fubar
Hoewel het redelijk mogelijk is om vrijwel foutloze software
te schrijven gaan de ontwikkelkosten navenant omhoog. Zie
bijvoorbeeld de controleprocedures op software in de
ruimtevaart. Daar kost een regel code het 20 tot 30 voudige
van wat een commercieel geschreven regel code kost. Dus het
is puur een kwestie van economie. Het is nu eenmaal
goedkoper om te investeren in beveiligingsprodukten dan dat
het commercieel haalbaar is om superveilige software te
schrijven. De consument is namelijk prijsbewust en zolang er
geen aansprakelijkheid bij de fabrikanten wordt neergelegd,
zoals in de auto industrie, zal er niks veranderen.

Het aankoopgedrag van consumenten en bedrijven bepaald nu
eenmaal wat er in de markt komt. Als men het goedkoper acht
om security buiten de software om te regelen, wat in sommige
gevallen zelfs beter kan zijn, is dat op zich niet per
definitie een slechte zaak. Wel is het een slechte zaak als
security als een statisch iets wordt gezien waarbij de te
beschermen assets allemaal over 1 kam worden geschoren...
Iets wat meneer Schneier hier een beetje doet. Verder niks
mis met de man gezien zijn indrukwekkende trackrecord.

Wel moet je rekening houden met de motieven van mensen om
iets te zeggen. Vaak is de inhoud van het bericht niet
zozeer van belang als wel het beoogde effect wat men
blijkbaar wil bereiken. Hij zinspeelt op regelgeving om
fabrikanten van software te verplichten enige vorm van
kwaliteitsgarantie in te bouwen. Op zich geen slechte
gedachte gezien het feit dat echt volwassen organisaties ook
inderdaad in hun OTAP omgeving behoorlijke acceptatie
criteria hebben ingebouwd. Waaronder het gebruik van fuzzers
(software die automatisch fouten probeert te vinden in
software).

My two cents,

Carlo Seddaiu
Pragmasec BV
01-05-2007, 14:23 door Skizmo
Door Crox
die Schneier irriteert me al tijden met zijn snake-oil
gelul. Een
omhooggevallen idioot zonder inhoud. Zonde om zoveel
aandacht te geven.
Fix jij het dan ffies. .. als ik je comment zo lees. . moet
dat voor jou geen probleem zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.