EFF: Geen eenvoudige antwoorden bij beveiligingsadvies
Wie mensen adviseert over digitale beveiliging en privacy moet eenvoudige antwoorden, zoals het noemen van een bepaalde telefoon of besturingssysteem, zien te vermijden, aldus de Amerikaanse burgerrechtenbeweging EFF weten. De organisatie lanceerde laatst de Security Education Companion.
Dit is een verzameling van artikelen voor mensen die hun vrienden, buren of collega's over cybersecurity willen adviseren. Eén van de onderwerpen die aan bod komt is het adviseren van tools. Veel mensen willen weten welk platform, telefoon of programma ze moeten gebruiken, aldus de EFF. "Een direct antwoord dat klopt en bruikbaar is, is helaas lastig te geven. Je moet de verleiding weerstaan om een absoluut ja/nee antwoord te geven, ook al is dit frustrerend voor je publiek", aldus de burgerrechtenbeweging.
Volgens de EFF zijn directe antwoorden zelden van toepassing op iedereen. "En als ze kloppen hoeft dat mogelijk niet in de toekomst zo te zijn." Als voorbeeld wordt bijvoorbeeld het advies over een telefoon gegeven. In het geval er een direct antwoord moet worden gegeven zou de EFF nu een iPhone noemen, aangezien het Android-landschap gefragmenteerd is en fabrikanten beveiligingsupdates niet of traag uitrollen. Deze situatie kan echter op elk moment veranderen, waardoor het eerder gegeven advies niet meer van toepassing is.
Ook kunnen bepaalde adviezen, zoals het aanschaffen van een kostbare iPhone, niet voor iedereen haalbaar zijn. In het geval van beveiligingsadvies is het daarom belangrijk uit te leggen waarom een bepaald advies wordt gegeven. Bijvoorbeeld aan de hand van het dreigingsmodel waar rekening mee gehouden moet worden. Afsluitend stelt de EFF dat er toch een aanbeveling kan worden gegeven, aangezien de meeste mensen een antwoord willen in plaats van algemene richtlijnen.
Verder laat de burgerrechtenbeweging weten dat het belangrijk is om 'open-minded' over verschillende apparaten en besturingssystemen te zijn. "Advies dat in theorie fantastisch voor security is maar veel technische kennis vereist, zoals het draaien van Qubes, het gebruik van Tails of het overstappen op Linux, kan meer kwaad dan goed doen. In plaats daarvan is het handiger om je publiek tegemoet te komen en te werken met de apparaten en besturingssystemen die ze al gebruiken."
Maar soms kan je maar beter even je mond houden omdat het je nodeloos in problemen brengt.
Dat is het statistisch voor den normale simpele mensch heel verdedigbaar om dan te gaan voor dat Apple dingetje, nieuw of tweedehands.
EFF moet dit glibberpad niet opgaan omdat zij de kans loopt de hele android industrie over zich heen te krijgen en omgekeerd als ze een advies geeft.
Er gaat veel geld in om en de belangen zijn groot dus de weerstand (al dan niet juridisch) is groot.
Veel te groot.
Waag je er dan ook niet aan.
Bam op de smoel, op naar de tandarts of alleen schaafschade?
Eenvoudig advies bestaat dus wel!
1) Verreweg de meeste mensen hebben niet de moeite genomen simpel weg de voorkeuren van hun programma's en systeem goed in te stellen.
Als je dat hebt gedaan kan je naar aanvullingen kijken omdat je vindt dat er iets mist.
2) Denk je dat dat te veel gedoe is en dat een ander systeem direct ongeconfigureerd al meer voordelen biedt dan is dat een heel legitiem reden om over te stappen (naar Apple of Linux bijvoorbeeld).
Maar ook in die gevallen moet je alsnog de moeite nemen de voorkeuren door te nemen van de programma's die je gebruikt.
Mis je wat dan zoek je een aanvulling.
3) Denk je dat ook die systemen je niet die veiligheid kunnen bieden die je zoekt, dan kan je weer een stapje verder gaan.
Naar Tails, Quebes.
Zo zit dat een beetje en je kan systemen ook naast elkaar gebruiken.
Maar het is onzinnig om deze hiërarchie per definitie te ontkennen en Linux met Tails op 1 hoop te gooien.
En ook is er geen man overboord als je met Tails loopt te klooien zolang het risico dat je wilde afdekken niet te hoog is.
Tails is namelijk ook prima bruikbaar als lichtgewicht systeem voor basistaken die je beschermt tegen malware en online privacy gedonder van de reclame en tracking industrie.
Gebruik van Tails is niet eng, de alom aanwezige tegenstanders in media en fora maken haar eng in de hoop dat niemand dit gaat gebruiken omdat het zo goed is (het moet wel op afstand aftapbaar en kraakbaar blijven, iets met veiligheidssprookjes en fantasieen over het 'gevaar van encryptie').
Volkomen uitglijder dus via ongevraagd misplaatst politiek commercieel vlak.
Gratis marketing kan je gebruiken maar weersta de verleiding om jezelf onnodig in verlegenheid te brengen of in een spagaat te gaan die je pijn in je kruis oplevert...
Dat is het werkelijke probleem, niet dat eenvoudige advies dat dus wel bestaat: mogelijkheden benutten die je nog niet benut had ; voorkeuren doornemen.
Dat is voor de meeste mensen een enorme stap voorwaarts = eenvoudig haalbare winst
Zoals die onderzoeker die een kikker onderzocht:
De kikker sprong wel een meter hoog.
Toen dacht de onderzoeker: "Wat zou er gebeuren als ik één poot afsnij?"
De onderzoeker sneed een poot af en riep weer "Spring!"
Nu sprong de kikker maar een halve meter hoog.
Toen dacht de onderzoeker: "Wat zou er gebeuren als ik de andere poot ook nog afsnij."
De onderzoeker sneed de andere poot ook af en riep "Sping".
Er gebeurde niets.
De onderzoeker schreeuwde steeds harder "Spring.... Spring!....
SPRING...... SPRING!..... SPRING!!!!!!!!!!
Maar de kikker sprong niet meer. Nog geen millimeter.
Toen schreef de onderzoeker op:
"Kikker met beide poten afgesneden wordt hartstikke doof."
Wel meer dan twintig jaar geleden gehoord, maar nooit vergeten.
Een typisch voorbeeld van de kennisloze logica van de mens,
die bij doorsnee computergebruikers die hun PC veilig willen gebruiken veel voorkomt.
En zelfs ook nog wel eens bij mensen die zichzelf "expert" noemen op ICT gebied.
Daar komt dan nog bij dat veel van deze kennis dynamisch is: voortdurend in beweging, niet stabiel.
Hoewel de diepste grondslagen meestal nauwelijks veranderen is kennis aan de oppervlakte vluchtig.
Dat maakt het erg lastig zo niet onmogelijk om een concreet veiligheidsbeleid voor doorsnee internetters op schrift te stellen waar ze voor altijd genoeg aan hebben.
De juiste en enige oplossing is een profesionele hardwarematige firewall met null punt beveiling. File .ioncryptie . Proffeswioo nmele firmware in samenwerking met live link naar ESET.
https://m.firewallshop.nl/sonicwall-tz300-advanced-edition-1-jaar-gigabit-firewall-totalsecure-advanced-edition/pid=50471
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.