Securitybericht als gratis reclame

Iedereen doet het en hopelijk hebben we het allemaal wel door : veel bedrijven gebruiken 'ontdekkingen' als een vorm van gratis reclame voor hun bedrijf.
Je wordt immers gratis en voor niets geciteerd, het enige wat je hoeft te doen is een persbericht op de mail te zetten en hop; kassa.

Dit bericht is er weer een goed voorbeeld van.
Extra goed omdat het zoekt naar een probleem dat er eigenlijk nauwelijks is.
Powerpoint beschermt er immers tegen.

De waarschuwing heeft het gehalte van "Maar als je toch door rood rijdt loopt of fietst loop je een verhoogde kans op ongelukken! Het stoplicht is niet echt veilig!"
Tja.
Zet powerp (en overig officemeuk) gewoon niet in de whitelist van je firewall (maar vergeet niet om periodiek een uitzondering te maken en te updaten).

Office waarschuwt ook voor het inschakelen van macro's, maar dat zetten hele volksstammen ook aan. Het feit dat er zonder echte interactie van de gebruiker, op het hoveren na, code wordt uitgevoerd, ook al verschijnt er daar na een waarschuwing, is best schokkend en ZEKER het vermeld waard op een security site!

Je moet wat als security-aanbieder. (Iets nuttigs doen bijvoorbeeld, maar daar is zowel geen mankracht als geen markt voor.)

Nou, "beschermen". Laten we eens kijken.

De muiscursor hangt boven een link. Dan komt er een popup dat windows iets onduidelijks wil. Onduidelijk want kijk maar de bewoording: "Oh mischien eventueel zou er iets mis kunnen zijn, goed opletten hoor!" en dat dan een heel popupje vol.

Op dit punt klikken heel erg veel mensen blind op de dichstbijzijnde "[ga weg en laat me met rust]" knop. Welke dat is? Nou, nemen we aan dat ze willekeurig een knop kiezen, dan is er een 2-tegen-1 kans dat de malware uitgevoerd wordt.

Daarnaast, let even goed op, het gaat hier om een linkje maar de popup wijst duidelijk naar een bestand op de eigen harde schijf. Dat linkje is dus al gevolgd en de malware al binnengehaald. Dat noem ik geen "beschermen".


Het zijn pietluttige dingen, ja, maar ze wijzen op een fundamenteel probleem. Namelijk dat de omgeving waarin gewerkt wordt tegelijkertijd twee dingen doet: 1) "De gebruiker" zoveel mogelijk zo ver mogelijk van "technische details" weghouden, wier begrip en toepassing iedere keer cruciaal blijken voor... 2) "De gebruiker" verantwoordelijk maken voor de veiligheid van het systeem, op infantiele wijze, d.w.z. "niet klikken hoorrrr!!!1!" terwijl alles in het werk gesteld is om dat klikken zo eenvoudig mogelijk te maken, is het toppunt van beveiliging.


Kijk, daar ga je al. "Doe dit (maar...)".

Dat werkt dus niet. Dus gaat het verkeerd. Dus zijn deze persberichtjes toch relevant. Maar dan op zo'n manier dat het eigenlijk het hele veld als een stel ongelovelijke lutsers neerzet. Dunning-Kruger enzo.