"Overheid moet OS met gestripte kernel draaien"
Overheidsinstanties die hun website tegen hackers willen beschermen, moeten aangepaste besturingssystemen met gestripte kernels draaien, aldus Mafiaboy. De Canadese tiener wist 12 jaar geleden verschillende grote websites plat te leggen en te verstoren, waaronder, Yahoo en Amazon. Uiteindelijk werd hij tot acht maanden cel veroordeeld. Sinds zijn vrijlating is hij vooral bezig om "awareness" te kweken.
Als het gaat om de veiligheid van overheidssites, zijn er maatregelen die instanties kunnen treffen, merkt hij op. "Een groot probleem bij veel overheidssites is dat ze besturingssystemen gebruiken die toegankelijk voor het publiek zijn. Als ze het aantal inbraken willen verminderen, moeten ze alleen aangepaste besturingssystemen met gestripte kernels gebruiken", aldus Mafiaboy.
Hij merkt op dat alles binnen de overheid "custom" moet zijn, in plaats van allerlei standaard besturingssystemen en applicaties. "Toen ik nog hackte kwam ik wel eens overheidssites tegen die kwetsbaar voor openbare code waren. Dit vind ik onacceptabel en moet naar gekeken worden. Alle overheidsnetwerken en systemen moeten intensief worden gescreend voordat ze online komen."
Broncode
Van veel besturingssystemen is de broncode beschikbaar op het internet, waardoor professionele hackers de code op kwetsbaarheden kunnen controleren, merkt Mafiaboy op. "Veel overheidssites gebruiken deze besturingssystemen, dus het is vrij eenvoudig om toegang te krijgen."
Het is dan ook belangrijk om allerlei standaard services uit te schakelen. Services die mogelijk niet eens worden gebruikt en ervoor kunnen zorgen dat hackers toegang tot de server kunnen krijgen. Het gaat dan bijvoorbeeld om een mail Daemon die standaard draait, maar niet voor het functioneren van de site noodzakelijk is.
Als ik het zo lees: nee. Eerder
1. Security through Soberty. Schakel uit wat niet nodig is.
2. Security through Variaty. Doe het net even anders.
Staan overbodige dingen aan, heb je extra lekkage. Zit het net ff anders in elkaar, kost het meer tijd. Zie je dan door goed te monitoren een aanval, heb je kans om het lek te dichten voor de inhoud wegloopt.
Het strippen van een systeem van ongebruikte meuk is in beveiligingsland de eerste stap van system hardening. Als je iets niet gebruikt hoeft het ook niet geinstalleerd/geactiveerd te zijn.
Het strippen van een systeem van ongebruikte meuk is in beveiligingsland de eerste stap van system hardening. Als je iets niet gebruikt hoeft het ook niet geinstalleerd/geactiveerd te zijn.
Het feit dat code open en beschikbaar is hoeft geen afbreuk te doen aan de veiligheid van die code.
Ook leuk dat hij zegt:
"Hij merkt op dat alles binnen de overheid "custom" moet zijn, in plaats van allerlei standaard besturingssystemen"
terwijl:
"moeten ze alleen aangepaste besturingssystemen met gestripte kernels gebruiken"
Het 1 lijkt me nogal in tegenspraak met het ander....
Wat betreft standaard componenten kan ik het me voorstellen, maar waarom dan de kernel etc strippen waardoor je mogelijk andere problemen introduceert? Gebruik dan liever een extra laag beveiliging (defence in depth) om eventuele problemen te mitigeren...
Customizen kan maar op zeer beperkte schaal, het strippen van de kernel lijkt me gewoon het beste.
Er zou een overkoepelend orgaan moeten komen wat als kerntaak heeft om de informatiesystemen van de overheden te beveiligen. Maar dan niet puur adviserend (daar zijn we goed in) maar met de bevoegdheid om te acteren en indien nodig, de regie over te nemen.
Als daar andere software bij hoort, dan moet dat maar. Je moet geen andere riemen geven aan een team wat sowieso niet kan roeien.
Het huidig beleid bij overheden heeft er al vaker toe geleid dat problemen veel te lang blijven bestaan omdat er geen geld voor beschikbaar is. Een slecht beleid kan door de veiligste software op aarde niet gered worden.
Addendum:
Daarnaast is er zo'n enorme achterstand dat je dit niet gaat inhalen vooral niet als je dit combineert met issues door de inzet van nieuwe producten in nieuwe projecten en de constant veranderende richtlijnen vanuit de politiek die soms meerjarige projecten tot gevolg hebben terwijl de drijfveer weg is omdat er van kabinet gewisseld is.
Moeten we daarom stilstaan? Nee natuurlijk maar we moeten wel de risico's minimaliseren, dus op zich is dit weer een maatregel op zich.
Ik kan het weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.