"Niet patchen browser is vorm van uitlokking"
Wie met een ongepatchte browser surft maakt zich in de toekomst strafbaar aan nalatigheid, uitlokking, medeplichtigheid en aanzetting tot cybercrime, zo voorspelt een beveiligingsonderzoeker. Gunter Ollmann was een van de onderzoekers die aan het "“Understanding the Web browser threat" rapport meewerkte. Uit dat rapport kwam naar voren dat 637 miljoen mensen met een onveilige browser surfen. Met name gebruikers van Internet Explorer beschikken in meer dan de helft van de gevallen niet over de laatste versie.
Critici waren het niet met de cijfers eens, aangezien Microsoft IE6 nog altijd ondersteunt, maar dat dit in het rapport als een onveilige browser werd bestempeld. Ollmann laat weten dat de softwaregigant IE7 als haar veiligste browser beschouwt en dat de dreigingen waar gebruikers aan zijn blootgesteld, zijn veranderd. IE7 beschikt over beveiligingsmaatregelen die niet in de oudere browsers aanwezig zijn. Alleen het patchen is vandaag de dag niet meer voldoende.
De onderzoeker vergelijkt het gebruik van browsers met auto's. Auto's van dertig jaar geleden beschikten destijds over de nieuwste technologie. Maar de standaarden voor rijveiligheid zijn veranderd, rijgedrag is veranderd en ook de bescherming van de auto is veranderd. Remmen die in 1970 goed genoeg waren, kunnen er nu voor zorgen dat de bestuurder tegen een andere auto botst. Dezelfde ontwikkeling hebben browser en internetgebruikers doorgemaakt, aldus Ollmann.
Verantwoordelijkheid
De onderzoeker stelt zichzelf de vraag hoe verantwoordelijk gebruikers van een lekke browser voor hun eigen acties zijn? "Als je weet dat je browser achterloopt en je computer raakt besmet en onderdeel van een botnet dat bij misdrijven wordt gebruikt, is het dan echt jouw fout?" Het antwoord op de vraag laat hij liever aan een advocaat over, maar hij merkt op dat computercriminaliteitswetgeving steeds in ontwikkeling is. "Het zou mij niet verbazen als over een paar jaar het niet patchen van je browser als nalatigheid, uitlokking, medeplichtigheid en aanzetting tot cybercrime wordt beschouwd."
Toch is er geen jurist die roept dat dat als uitlokking van
diefstal bestraft zou moeten worden. Ik zou dan ook niet
weten waarom uitlokking van cybercrime ineens wel strafbaar
zou moeten worden.
Arnoud
die net weet hoe hij zijn computer aanzet, en een mailtje verstuurt, erop aan
zal spreken wanneer zijn browser niet gepatched is ? Hij weet niet eens wat
er met een "patch" of "update" wordt bedoeld.
strafbaar aan nalatigheid, uitlokking, medeplichtigheid en aanzetting tot
cybercrime, zo voorspelt een beveiligingsonderzoeker.
En net als het per ongeluk inloggen op een vreemd draadloos netwerk zal
men dit dan ook wel snel als een terroristische daad gaan zien in Amerika en
Engeland.De vraag blijft gelijk aan de wetgeving in de meeste landen: iedere
inwoner dient de wet te kennen.....we zijn dus eigenlijk allemaal
rechtsgeleerden en straks dus ook ict-ers !?
Het is dus de omgekeerde wereld,als je niet snel genoeg je pc weet te
patchen tegen digi-tuig dan ben je zelf een crimineel....?En gek genoeg denk
ik dat net als remote afsluiten van je pc het er waarschijnlijk wel van zal
komen.Totale controle is wat men schijnbaar wenst!
zelf schuldig aan uitlokking. Types die niet snel genoeg optrekken bij groen
licht krijgen even een bull-bar in de koffer en zijn zelf schuldig aan
uitlokking. "Meneer, u weet toch dat u bij groen licht weg MOET rijden?"
Ik zie het wel zitten ;-)
veroorzaakt, dan eveneens strafbaar ? En wat te denken van een patch die
een conflict oplevert met bestaande software op het systeem ?
Wij testen iedere patch op het werk grondig alvorens deze (al dan niet)
wordt geinstalleerd op alle systemen. Met het verplicht patchen van de
browser kan je dit soort compatibiliteitsproblemen niet omzeilen.
Stelt de leverancier zich bij voorbaat soms garant voor schade welke volgt uit
het blindelings installeren van een patch ?
wettelijk verantwoordelijk voor de lekken in hun software.
Volgens mij doet dat veel meer voor de veiligheid van
computernetwerken dan eindgebruikers verantwoordelijk
stellen voor iets waar ze geen verstand van hebben en ook
niet van willen of kunnen hebben.
Bovendien verheffen we software engineeren dan van zomaar
een knutselwerkje in elkaar flansen naar een serieuze
engineering discipline (zoiets als bruggen bouwen, zeg maar).
Eerst worden consumenten verleid/gedwongen om gereleasede
software te gebruiken als ware het in een beta-test. Want,
zo gaat de redenering een volledige geteste software zou de
ontwikkeling ervan onbetaalbaar maken.
Nu wordt door een dergelijke opgelegde cultuur door
vendors/ontwikkelaars een verantwoordelijkheid gelegd bij de
gebruiker die daar m.i. niet hoort. Hoe kun je van een
doorsnee gebruiker nu verwachten dat z/hij alert is op
programmeerfouten die leiden tot vulnerabilities als
developers en vendors daar zelf bij voortduring de fout mee
ingaan.
De verantwoordelijk wordt daarmee om een onbehoorlijke
manier verschoven naar de consument. Wat zou de Europese
consumenten waakhond hiervan eigenlijk vinden?
waar nog geen patch voor bestaat, dan is iedereen opeens een
crimineel.....???
dat kan nog heel leuk worden jongens!
Laten we het eens omdraaien... vendors zijn financieel en
wettelijk verantwoordelijk voor de lekken in hun software.
Volgens mij doet dat veel meer voor de veiligheid van
computernetwerken dan eindgebruikers verantwoordelijk
stellen voor iets waar ze geen verstand van hebben en ook
niet van willen of kunnen hebben.
Bovendien verheffen we software engineeren dan van zomaar
een knutselwerkje in elkaar flansen naar een serieuze
engineering discipline (zoiets als bruggen bouwen, zeg
maar).
Alleen bedrijven met voldoende advocaten/capitaal e.d.
zullen overleven, want het zal een sport worden om fouten te
ontdekken en de maker daar voor aan te klagen.
Ik ben meer voor een (geautomatiseerd) quarantaine proces
bij een provider. Heb je een stoute PC, dan worden je
Internet rechten (tijdelijk) ingedamd.
Gezien de wereldwijdheid van het Internet is dat wel wat
lastig haalbaar :-)
bij een provider. Heb je een stoute PC, dan worden je
Internet rechten (tijdelijk) ingedamd."
En hoe wil je dan omgaan met computers waarop vanwege
compatibiliteitsproblemen bepaalde patches niet worden geinstalleerd,
danwel computers met afwijkende operating systems, of live cd's, waardoor
patches helemaal niet geinstalleerd kunnen worden ?
Een quarantainesysteem lijkt mij op zich geen probleem, maar wel met enige
controle voor de gebruiker, zodat je bijvoorbeeld bepaalde patches kan
negeren als je daar een goede reden voor mocht hebben.
De eerste provider die een bedrijfsnetwerk in quarantaine gooit omdat een
bepaalde patch niet wordt gebruikt vanwege problemen met interne
applicaties kan denk ik een forse schadeclaim verwachten.
dat dat stelletje 'onderzoekers' een andere baan gaan zoeken.
mogen bagger leveren dat niet uitontwikkeld is en zo lek als
een mandje, en de gebruiker mag weer pleisters gaan plakken.
En is nu ook nog eens de boosdoener als ie niet hard genoeg
plakt.
Waarom komt er niet eens wetgeving die softwaremakers
aansprakelijk stelt voor de fouten die ze maken? Bij veel
andere producten is dit al lang het geval.
Ja hoor, het is weer eens zover. Fabrikanten van software
mogen bagger leveren dat niet uitontwikkeld is en zo lek als
een mandje, en de gebruiker mag weer pleisters gaan plakken.
En is nu ook nog eens de boosdoener als ie niet hard genoeg
plakt.
Waarom komt er niet eens wetgeving die softwaremakers
aansprakelijk stelt voor de fouten die ze maken? Bij veel
andere producten is dit al lang het geval.
haalbaar meer. met alle veranderingen in standaarden, de
omvang van software enzo, is het gewoon niet realistisch te
verwachten dat ontwikkelaars volledig lek vrije software
leveren. natuurlijk moeten ze hun best doen, maar je kan het
ook niet volledig bij hun neerleggen, dan krijgen we gewoon
geen software meer.
omdat alle nieuwe browsers die dingen hebben? Dacht 't niet!
Desnoods allemaal terug naar Netschaap 3 uit protest. :-D
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.