Dat, vooral dat, die uitspraak. Ik twijfel uberhaupt aan de kennis van Trump, dus begin al helemaal niet over Cybersecurity.
Vergeet niet dat cybersecurity een vak is dat nog vrij nieuw is in deze wereld. Trump is... hoe oud? Te oud in ieder geval om uitspraken daarover te doen. Laat het over aan een nieuwere, jongere generatie die wel daadwerkelijk weten waar ze mee bezig zijn. Want wat wil Trump doen? Een virtuele muur bouwen?


Wat Trump met deze uitspraak naar boven haalt is zoals ik dat noem een "virtueel tennisspel". Er wordt een cyberaanval tegen de VS gelanceerd, en Trump wil 2x zo hard terugslaan, denk je dan niet dat de cyberterroristen nog een aanval lanceren die 4x zo hard is? Trump lanceert dan een aanval die 8x zo hard is enz. En voila, men heeft een cyberoorlog van globale proporties. Trump, de oplossing is heel simpel; hou op met hierover praten.

En ik snap dat "De beste verdediging is aanvallen" een fijne uitspraak is om hier te zeggen, maar dat is niet altijd de oplossing. In deze cyberwereld gaat die vlag namelijk niet altijd op. Als je je sterk genoeg beveiligd zullen cyberterroristen uiteindelijk zien dat er meer moeite in wordt gestopt dan wat het waard is. Zodanig dat ze uiteindelijk er geen beloning meer aan over houden. Daarom, stay safe, stay secure, promote pacifism.

@Redactie

Spelfout (Sorry)

Dan moeten ze wel eerst weten tegen wie. Hoewel, het zou me niks ferbazen als de USA gewoon iemand aan wie ze een hekel hebben als "schuldige" aanwijst en daartegen in actie komt.

Laat de VS er eerst maar eens voor zorgen dat hun "kritieke systemen" veilig zijn tegen scriptkiddies.

In principe hoeft een president ook geen gedetailleerde kennis te hebben, als hij maar de goede mensen weet aan te sturen. Ik denk dar Kennedy ook geen verstand van raket-technology had, toen hij beloofde iemand op de maan te zetten.

Verder: goede analyse van je.

Tja, emotioneel gezien liever cyberwarfare dan een traditionele oorlog. Probleem is dat de fysieke wereld steeds meer samensmelt met de virtuele wereld. Houdt cyberwarfare ook in dat hele landen weken zonder stroom worden gezet of dat medische apparatuur wordt aangevallen?
Clinton heeft trouwens aangegeven dat digitale aanvallen moeten worden opgevat als oorlogsverklaringen. Ergens kan ik dit begrijpen, met name als het er heel dik op ligt, maar het is ook heel erg gevaarlijk want het valt vrijwel niet te controleren.
Misschien gewoon eens kijken naar de oorzaak van oorlog? Kortom, het economisch systeem eens een keertje aanpakken.

Voorbeelden:
- Power Outage Oekraine: https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/
- Power Outage Turkije: http://observer.com/2015/04/iran-flexes-its-power-by-transporting-turkey-to-the-stone-ages/

Cyberwarfare - een gevecht tegen windmolens? Prima, maar men kan beter iets aan de onderliggende inherent onveilige structuren doen.

Het Internet is destijds ontsnapt uit de academische wereld als een model dat niet bedoeld was voor de massa maar voor deskundigen, die zich netjes aan allerlei regeltjes en afspraken hielden of dienden te houden.

Op dit model dat helemaal niet globaal gebruikt diende te worden, werd laag na laag beveiliging ontworpen om te trachten het een klein beetje veilig te krijgen. Dat is nog steeds niet gelukt en het verbaast me niks.

Voorbeeld in het klein is het hele circus rond Content Security Policy, we zijn nu bij niveaul 3 beland.

90% van de policies hebben configuraties die onmiddellijk elke vorm van XSS protectie te niet doen. Minder dan 10% heeft het stricter ingesteld en zijn potentieel beveiligd, maar 51% daarvan was weer te omzeilen via onveilige eindpunten. Dit was de situatie voor niveau 3, waar niet te raden tokens werden ingezet, zogenaamde "nonces" en hashes in plaats van het whitelisten van hosts en domeinen, een dynamisch systeem.

Was het gevaar van XSS injectie nu geweken, werd het gevaar op DOM XSS door invoer van strict dymamisch CSP hoger dan bij normaal legacy CSP. Veilig is het nog lang niet, denk maar eens aan de Angular eval () by default problematiek die ons parten speelde. Dit kon worden misbruikt als een JS gadget om script executie protectie te omzeilen, alleen moest daarvoor Angular gehost worden op een gewhitelist domein binnen script-src.

De mensen die met de materie op de hoogte zijn, weten wel waar ik het over heb. De rest kan het gevoegelijk aannemen, er is genoeg over te lezen via links en pdf artikelen. Google heeft er juist een nieuwe scanner voor uitgebracht, zie: https://csp-evaluator.withgoogle.com/

CSP red je niet uit de penarie als je niet kunt bouwen op veilige onderliggende mechanismen met een X-frame-option header tegen clickjacking bijvoorbeeld, het vermijden van inline scripten en andere zaken die het overgebleven gevaar van XSS, Clickjacking en Mixed Content tegengaan.

Een laatste actie is het versneld trachten in te voeren van HTTPS everywhere, daarbij blijft echter een heleboel onveiligheid op servers buiten beeld blijft en het biedt net als de rest slechts een soort van schijnveiligheid.

Een echte veilige kabel is een doorgeknipte kabel een echte veilig apparaat is een apparaat dat uitstaat.

luntrus