Alternatieve software is belangrijk onderdeel van meerlaagse beveiliging
Zoals de meesten weten is beveiliging een dynamisch iets dat niet in één oplossing te vatten is. Wat vandaag "good practice" is, is morgen misschien "not done". Beveiliging bestaat dan ook uit meerdere lagen, zodat je meer aanvallen kunt opvangen. Een belangrijk punt is het kijken wat aanvallers doen, welke tactieken ze gebruiken en hoe ze te werk gaan.
In dat licht speelt alternatieve software een belangrijke rol. Kijk naar een Real Player, Adobe Reader, Internet Explorer, WinAmp en ga maar door. Allemaal applicaties die honderden miljoenen mensen gebruiken, en daardoor een ideaal doelwit voor criminelen zijn. Zeker nu meer mensen Windows patchen, zoeken aanvallers naar kwetsbare applicaties van derden. Zodra je een lek hebt gevonden, is het namelijk prijsschieten. Als crimineel zul je dan ook meer tijd steken in het doorspitten van de populaire applicaties, dan met "alternatieve software" het geval is.
Dat wil niet zeggen dat alternatieve software beter of veiliger is, maar je maakt je door het gebruik ervan wel een kleiner doelwit. Natuurlijk geldt wat vandaag de dag alternatief is, morgen "mainstream" kan zijn. Daarnaast is het kiezen van een "andere browser" of welk programma dan ook geen zilveren kogel en moet je blijven patchen en opletten wat je doet. Toch heb je de kans op een succesvolle aanval wel verkleind. Als gebruiker heb je geen invloed op de veiligheid van de software die je gebruikt, wel of die interessant voor computercriminelen is. Onze stelling luidt derhalve: Alternatieve software is belangrijk onderdeel van meerlaagse beveiliging
kwetsbaarheid komt dan waarschijnlijk niet overal voor en
een enkelvoudige aanval legt dan ook niet je hele bedrijf
plat. Nadeel van diversiteit is natuurlijk het complexere
beheer met de kans op (beveiligings)fouten.
Maar dat geldt niet alleen voor populaire gebruikerssoftware maar voor
software (en hardware) in het algemeen.
Zorg dat je in je serverpark, je netwerkinfrastructuur en je
gebruikerssoftware niet afhankelijk bent van één produkt of leverancier.
Voor kritische componenten zou je als organisatie/bedrijf snel moeten
kunnen omschakelen op ieder gewenst moment. Alternatieven hoef je dus
niet perse te altijd gebruiken, maar zorg wel dat ze op de plank liggen en
inzetbaar zijn zodra 't nodig is.
Eens.
Maar dat geldt niet alleen voor populaire gebruikerssoftware
maar voor
software (en hardware) in het algemeen.
Zorg dat je in je serverpark, je netwerkinfrastructuur en je
gebruikerssoftware niet afhankelijk bent van één produkt of
leverancier.
Voor kritische componenten zou je als organisatie/bedrijf
snel moeten
kunnen omschakelen op ieder gewenst moment. Alternatieven
hoef je dus
niet perse te altijd gebruiken, maar zorg wel dat ze op de
plank liggen en
inzetbaar zijn zodra 't nodig is.
En vergeet vooral onze landelijke overheid niet... bakken
Microsoft daar. En defensie.
Monocultuur is een probleem, maar dat had Dan Geer jaren
terug al door.
Hmmm... zeg dat maar tegen die 100% Microsoft shops.
En vergeet vooral onze landelijke overheid niet... bakken
Microsoft daar. En defensie.
Monocultuur is een probleem, maar dat had Dan Geer jaren
terug al door.
In Europa is er wat dat betreft wel een lichtpuntje aan het einde van de
tunnel waar te nemen. Zie hoe Kroes ten strijde is getrokken tegen
Microsoft en in het gelijk is gesteld. Daarnaast subsidieerd Europa
ontwikkelingen in en gebruik van open source software. Een beginnetje,
maar toch...
gevonden zijn dan in IE? En wat nou als iedereen hierop overgaat? Dan
gaat men zijn aandacht helemaal op deze software richten.
Open source software is totaal geen garantie voor een veiliger systeem. Integendeel zelfs. Maar de Microsofthaters blijven maar doorblaten dat je met open source pas echt veilig zou zijn. Feiten die het tegendeel aantonen, worden doodleuk genegeerd.
Kortom: een non-issue, alleen maar leuk voor de Microsofthaters. Droom
lekker verder.
duizende gebruikers zal hebben. Dus een relatief klein doelwit is in de
praktijk al snel groot genoeg om een hack poging op te wagen.
Let wel dat ieder goed alternatief product op internet al snel enkele
duizende gebruikers zal hebben. Dus een relatief klein doelwit is in de
praktijk al snel groot genoeg om een hack poging op te wagen.
Het gaat altijd om de grote getallen. Dat is de reden dat we spam en
trojans hebben. De kans op succes wordt daarmee groter. En een botnetje
waar je iets aan hebt, opbouwen uit zombies met bv. FreeBSD schiet
natuurlijk ook niet op. Al was het maar vanwege het type gebruikers dat die
machines gebruikt/beheert.
Dus allemaal aan de Firefox? Waar nou al twee keer zoveel lekken in
gevonden zijn dan in IE? En wat nou als iedereen hierop overgaat? Dan
gaat men zijn aandacht helemaal op deze software richten.
Open source software is totaal geen garantie voor een veiliger systeem.
Integendeel zelfs. Maar de Microsofthaters blijven maar doorblaten dat je
met open source pas echt veilig zou zijn. Feiten die het tegendeel
aantonen, worden doodleuk genegeerd.
Kortom: een non-issue, alleen maar leuk voor de Microsofthaters. Droom
lekker verder.
Gaat er niet om of je microsoft-hater of volger bent. Gaat erom dat je
kritische afwegingen kunt maken. Welk produkt zet je waar in? En heb je
alternatieve produkten op de plank liggen en er ook de kennis voor in huis?
Kritiekloos achter één enkel produkt of leverancier aanhollen is in elk geval
niet slim.
je met open source pas echt veilig zou zijn. Feiten die het
tegendeel aantonen, worden doodleuk genegeerd.
Dat is nou niet het punt: de stelling hier is dat
diversiteit je minder kwetsbaar maakt over de hele linie, en
v.w.b. betreft diversiteit ben je bij M$ aan het verkeerde
adres. Dus naast M$ ook....(unix/linux/openBSD/os-X..)
Verder kun jij niet hardmaken dat "open source" ONveiliger
is dan closed source, daarmee niet zeggende dat open source
onfeilbaar is natuurlijk.
Wat je wel kan is de code lezen...toch, en aldus scannen
duizenden ogen de code die in "open source" gebruikt wordt.
Vertrouw je het nog niet, dan gebruik je de sourcefiles en
compileer je ze zelf.....tenslotte kan niemand hier
tegenspreken dat in de "closed" wereld de gebruiker ervan
PRECIES weet wat die code allemaal doet..
van een breed gebruikt stuk software (hoeveel is daarvoor beschikbaar)?
Zet dat eens tegen af tegen weinig gebruikte software van leveranciers die
weinig beschikbaar heeft om een lek op te lossen?.
Een hacker die misbruik maakt van een lek in een weinig gebruik pakket
heeft misschien meer moeite met het vinden van deze gebruikers, maar
eenmaal gevonden heeft hij waarschijnlijk alle tijd om dit te misbruiken
voordat het lek (if at all) gedicht wordt.
Hoeveel inspanning zal worden gespendeerd voor het dichten
van een lek
van een breed gebruikt stuk software (hoeveel is daarvoor
beschikbaar)?
Zet dat eens tegen af tegen weinig gebruikte software van
leveranciers die
weinig beschikbaar heeft om een lek op te lossen?.
zozeer afhankelijk van het aantal gebruikers of de omzet,
meer van de mate van kwaliteitsdenken die een leverancier
heeft. Soms lopen juist de kleine leveranciers een stapje of
twee harder dan de grote arrogante speler.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.