ECC-geheugen kwetsbaar voor Rowhammer-aanval
Onderzoekers van de Vrije Universiteit Amsterdam (VUA) hebben een Rowhammer-aanval ontwikkeld die tegen ECC-geheugen kan worden uitgevoerd. Rowhammer maakt het mogelijk voor software om de inhoud van het geheugen te manipuleren en zo volledige controle over de computer te krijgen.
Geheugenchips zijn georganiseerd in een soort rasterpatroon van "rijen" en "kolommen". De afgelopen jaren hebben geheugenchips een steeds grotere capaciteit gekregen, waarbij de geheugencellen steeds dichterbij elkaar worden geplaatst. Hierdoor nemen de kosten af, maar de celdichtheid heeft negatieve gevolgen voor de betrouwbaarheid van het geheugen. Deze dichtheid zorgt ervoor dat de cellen invloed op elkaar kunnen hebben.
Door het herhaaldelijk benaderen van geheugenrijen kan data in nabijgelegen rijen corrupt raken. Rowhammer zorgt ervoor dat bij het herhaaldelijk benaderen van een geheugenrij bits in aangrenzende rijen worden "geflipt". Door het flippen van deze bits is het uiteindelijk mogelijk om lees-schrijftoegang tot het volledige fysieke werkgeheugen te krijgen, waarna het bijvoorbeeld mogelijk is om kernelrechten te krijgen. De in het verleden gedemonstreerde aanvallen werkten echter niet tegen ECC-geheugen.
Error-correcting code (ECC)-geheugen is een bepaald soort geheugen dat extra informatie opslaat waarmee de processor "bit flips" kan detecteren en repareren. ECC-geheugen is kostbaarder dan normaal geheugen en wordt vooral in high-end servers gebruikt. ECC voegt genoeg redundantie toe dat het een enkele bit flip in een "memory word" kan repareren. In het geval van twee bit flips per memory word zorgt het ervoor dat het programma crasht. Alleen in het geval van drie bit flips op de juiste plek kan ECC worden omzeild. Gezien het risico op crashes werd dit altijd als onwaarschijnlijk geacht, aldus de onderzoekers van de VUA.
De onderzoekers zijn een jaar bezig geweest om de werking van ECC-geheugen te onderzoeken. Dat leidde tot het inzicht dat ECC Rowhammer-aanvallen niet stopt, maar alleen vertraagt. Uiteindelijk vonden ze een manier om drie bit flips uit te voeren en zo de ECC-beveiliging te omzeilen. Dit kan echter de nodige tijd in beslag nemen. Afhankelijk van de gekozen exploit en omgeving kan het 32 minuten tot één week duren om kwetsbare bit flips te vinden. Het is daarbij niet nodig om fysieke toegang tot een systeem hebben. De aanval kan ook via een niet- geprivilegieerde remote shell worden uitgevoerd.
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid werd door de onderzoekers ingelicht en coördineerde de communicatie met betrokken partijen. In een website over de nieuwe Rowhammer-aanval, die de naam ECCploit heeft gekregen, doen de onderzoekers verschillende aanbevelingen die organisaties kunnen nemen, waaronder het uitfaseren van geheugen dat kwetsbaar voor Rowhammer is. Tevens is er een paper over de aanval verschenen (pdf). De onderzoekers zullen volgend jaar mei tijdens het IEEE Symposium over Security en Privacy in San Francisco hun bevindingen presenteren.
Reacties (16)
ECC is precies gewoon normaal geheugen alleen worden er wat meer bitjes opgeslagen (72 ipv 64) en met die extra bitjes regelt de controller een codewoord waarmee dat SECDED-verhaal ("single error corrected, double errors detected") gedaan kan worden. Dus inderdaad, wil je rowhammeren dan moet je minstens drie errors veroorzaken.
Wat mij nu onmiddelijk invalt is dat het wel fijn zou zijn om te weten of buffering ("registered" geheugen) nog invloed op dit verhaal gaat hebben. Is zo snel niet uit de website op te maken.
Leuk hoor, dat de VU lekker popie-jopie doet met "vusec.net" (en niet, oh, sec.vu.nl ofzo) en nog misinformatie verspreidt ook ("cosmic rays" zijn niet de oorzaak van omgevallen bitjes, daar heeft ik meen IBM al jaren terug een studie naar gedaan in een met lood afgeschermde ruimte). Dit is dus een universiteit en het beste dat ze weten te vertellen is dat ze "pretty crazy stuff" weten te doen. Dat is wat ze "wetenschap" noemen tegenwoordig?
Wat mij nu onmiddelijk invalt is dat het wel fijn zou zijn om te weten of buffering ("registered" geheugen) nog invloed op dit verhaal gaat hebben. Is zo snel niet uit de website op te maken.
Leuk hoor, dat de VU lekker popie-jopie doet met "vusec.net" (en niet, oh, sec.vu.nl ofzo) en nog misinformatie verspreidt ook ("cosmic rays" zijn niet de oorzaak van omgevallen bitjes, daar heeft ik meen IBM al jaren terug een studie naar gedaan in een met lood afgeschermde ruimte). Dit is dus een universiteit en het beste dat ze weten te vertellen is dat ze "pretty crazy stuff" weten te doen. Dat is wat ze "wetenschap" noemen tegenwoordig?
Ondanks de kleine size van de Cyber afdeling van de VU verrichten ze toch heel veel mooi werk, maar worden de onderzoekers regelmattig door staatshackers lastig gevallen.
Geheugen aanvallen is wat alle grote hackers proberen te doen, ongeacht de OS die je draait ben je kwetsbaar voor Geheugen kwetsbaarheden.
Door Anoniem: ECC is precies gewoon normaal geheugen alleen worden er wat meer bitjes opgeslagen (72 ipv 64) en met die extra bitjes regelt de controller een codewoord waarmee dat SECDED-verhaal ("single error corrected, double errors detected") gedaan kan worden. Dus inderdaad, wil je rowhammeren dan moet je minstens drie errors veroorzaken.
Wat mij nu onmiddelijk invalt is dat het wel fijn zou zijn om te weten of buffering ("registered" geheugen) nog invloed op dit verhaal gaat hebben. Is zo snel niet uit de website op te maken.
Leuk hoor, dat de VU lekker popie-jopie doet met "vusec.net" (en niet, oh, sec.vu.nl ofzo) en nog misinformatie verspreidt ook ("cosmic rays" zijn niet de oorzaak van omgevallen bitjes, daar heeft ik meen IBM al jaren terug een studie naar gedaan in een met lood afgeschermde ruimte). Dit is dus een universiteit en het beste dat ze weten te vertellen is dat ze "pretty crazy stuff" weten te doen. Dat is wat ze "wetenschap" noemen tegenwoordig?
Wat mij nu onmiddelijk invalt is dat het wel fijn zou zijn om te weten of buffering ("registered" geheugen) nog invloed op dit verhaal gaat hebben. Is zo snel niet uit de website op te maken.
Leuk hoor, dat de VU lekker popie-jopie doet met "vusec.net" (en niet, oh, sec.vu.nl ofzo) en nog misinformatie verspreidt ook ("cosmic rays" zijn niet de oorzaak van omgevallen bitjes, daar heeft ik meen IBM al jaren terug een studie naar gedaan in een met lood afgeschermde ruimte). Dit is dus een universiteit en het beste dat ze weten te vertellen is dat ze "pretty crazy stuff" weten te doen. Dat is wat ze "wetenschap" noemen tegenwoordig?
Het is een universiteit met een kleine budget en verwacht niet dezelfde uitvindingen die bijvoorbeeld de AIVD heeft waar enorm veel geld in is gestoken.
Je kan het ook niet vergelijken met de Universiteiten zoals MIT en andere universiteiten die overal door gesponsord wordt en ook daar zal de NSA betere dingen hebben dan de onderzoekers.
De VU heeft goed werk verricht en het is ook best cool wat ze hebben gedaan.
Een universiteit is niet zo bijzonder, er bestaan tophackers die niet eens een MBO opleiding hebben gedaan. Studie staat gewoon mooi op je CV als je een kantoor type baan wilt.
Ik ken genoeg mensen in de ICT die een topbaan hebben zonder een IT opleiding.
Door Anoniem:
Het is een universiteit met een kleine budget en verwacht niet dezelfde uitvindingen die bijvoorbeeld de AIVD heeft waar enorm veel geld in is gestoken.
Daar gaat het ook niet over.Door Anoniem: ECC is precies gewoon normaal geheugen alleen worden er wat meer bitjes opgeslagen (72 ipv 64) en met die extra bitjes regelt de controller een codewoord waarmee dat SECDED-verhaal ("single error corrected, double errors detected") gedaan kan worden. Dus inderdaad, wil je rowhammeren dan moet je minstens drie errors veroorzaken.
Wat mij nu onmiddelijk invalt is dat het wel fijn zou zijn om te weten of buffering ("registered" geheugen) nog invloed op dit verhaal gaat hebben. Is zo snel niet uit de website op te maken.
Leuk hoor, dat de VU lekker popie-jopie doet met "vusec.net" (en niet, oh, sec.vu.nl ofzo) en nog misinformatie verspreidt ook ("cosmic rays" zijn niet de oorzaak van omgevallen bitjes, daar heeft ik meen IBM al jaren terug een studie naar gedaan in een met lood afgeschermde ruimte). Dit is dus een universiteit en het beste dat ze weten te vertellen is dat ze "pretty crazy stuff" weten te doen. Dat is wat ze "wetenschap" noemen tegenwoordig?
Wat mij nu onmiddelijk invalt is dat het wel fijn zou zijn om te weten of buffering ("registered" geheugen) nog invloed op dit verhaal gaat hebben. Is zo snel niet uit de website op te maken.
Leuk hoor, dat de VU lekker popie-jopie doet met "vusec.net" (en niet, oh, sec.vu.nl ofzo) en nog misinformatie verspreidt ook ("cosmic rays" zijn niet de oorzaak van omgevallen bitjes, daar heeft ik meen IBM al jaren terug een studie naar gedaan in een met lood afgeschermde ruimte). Dit is dus een universiteit en het beste dat ze weten te vertellen is dat ze "pretty crazy stuff" weten te doen. Dat is wat ze "wetenschap" noemen tegenwoordig?
Het is een universiteit met een kleine budget en verwacht niet dezelfde uitvindingen die bijvoorbeeld de AIVD heeft waar enorm veel geld in is gestoken.
Je kan het ook niet vergelijken met de Universiteiten zoals MIT en andere universiteiten die overal door gesponsord wordt en ook daar zal de NSA betere dingen hebben dan de onderzoekers.
Daar gaat het ook al niet over.De VU heeft goed werk verricht en het is ook best cool wat ze hebben gedaan.
Dat eerste moet je maar van ze aannemen en dat tweede is wel wat ze graag willen laten zien maar helaas pindakaas is dat volstrekt irrelevant voor of je op universitair niveau wetenschap bedrijft.Een universiteit is niet zo bijzonder, er bestaan tophackers die niet eens een MBO opleiding hebben gedaan.
Je zegt dus eigenlijk dat het wel prima is dat ze zich voordoen als "tophacker" (wat jij er ook mee mag bedoelen, de term is volstrekt betekenisloos) door lekker popie-jopie een sappig verhaal op te hangen. En mischien is dat ook wel zo, maar wetenschappelijk is dat allerminst. En ja, dan volgt makkelijk de conclusie dat "een universiteit is niet zo bijzonder". Dus waarom hebben we er dan nog wel twee in Amsterdam?Wat was het punt ookalweer van wetenschap?
Studie staat gewoon mooi op je CV als je een kantoor type baan wilt.
Ik ken genoeg mensen in de ICT die een topbaan hebben zonder een IT opleiding.
Tsja, dan kunnen we de universiteiten wel gewoon opdoeken, wegens toch niet meer dan een leuk stukje vernis op je CV. Dat vernis kan dan een stuk simpeler, met een mbo-opleiding waar ze goudgerande diplomas uitreiken inplaats van op gewoon papier.Ik ken genoeg mensen in de ICT die een topbaan hebben zonder een IT opleiding.
Potentially disastrous Rowhammer bitflips can bypass ECC protections
by Dan Goodin
https://arstechnica.com/information-technology/2018/11/potentially-disastrous-rowhammer-bitflips-can-bypass-ecc-protections/
"The VUSec researchers spent months reverse-engineering the process, in part by using syringe needles to inject faults into chips and subjecting chips to a cold-boot attack."
Men heeft een goed geoutilleerde elektrotechnische werkplaats nodig voor het uitvoeren van een dergelijke aanval. Waaronder de beschikking over vloeibare stikstof of freon. Ik zie daarom nog niet hoe zoiets in de huidige dagelijkse praktijk kan worden toegepast. Wat ik wel voorzie, is dat dergelijke aanval methodiek kan worden gerobotiseerd.
by Dan Goodin
https://arstechnica.com/information-technology/2018/11/potentially-disastrous-rowhammer-bitflips-can-bypass-ecc-protections/
"The VUSec researchers spent months reverse-engineering the process, in part by using syringe needles to inject faults into chips and subjecting chips to a cold-boot attack."
Men heeft een goed geoutilleerde elektrotechnische werkplaats nodig voor het uitvoeren van een dergelijke aanval. Waaronder de beschikking over vloeibare stikstof of freon. Ik zie daarom nog niet hoe zoiets in de huidige dagelijkse praktijk kan worden toegepast. Wat ik wel voorzie, is dat dergelijke aanval methodiek kan worden gerobotiseerd.
22-11-2018, 15:04 door
dutchfish
Ik heb altijd al stiekem gedacht dat ECC niet een oplossing voor de toekomst zou zijn. Misschien moeten we ternary computing weer terughalen. Het kindje dat met het spreekwoordelijke badwater is weggespoeld.
Noot: met de nieuwe 3d-nand technieken zou dit weer binnen bereik komen.
Noot: met de nieuwe 3d-nand technieken zou dit weer binnen bereik komen.
Dat eerste moet je maar van ze aannemen en dat tweede is wel wat ze graag willen laten zien maar helaas pindakaas is dat volstrekt irrelevant voor of je op universitair niveau wetenschap bedrijft.
De VU heeft goed werk verricht en het is ook best cool wat ze hebben gedaan.
Je zegt dus eigenlijk dat het wel prima is dat ze zich voordoen als "tophacker" (wat jij er ook mee mag bedoelen, de term is volstrekt betekenisloos) door lekker popie-jopie een sappig verhaal op te hangen. En mischien is dat ook wel zo, maar wetenschappelijk is dat allerminst. En ja, dan volgt makkelijk de conclusie dat "een universiteit is niet zo bijzonder". Dus waarom hebben we er dan nog wel twee in Amsterdam?
Over unie lees laatste stuk
Wat was het punt ookalweer van wetenschap?
[\quote]
Ik heb een WO opleiding gedaan en het doel van een WO opleiding is niks meer dan kritisch leren denken en leren onderzoek doen.
Tsja, dan kunnen we de universiteiten wel gewoon opdoeken, wegens toch niet meer dan een leuk stukje vernis op je CV. Dat vernis kan dan een stuk simpeler, met een mbo-opleiding waar ze goudgerande diplomas uitreiken inplaats van op gewoon papier.
Voor de gemiddelde persoon zonder uitzonderlijke talenten is een diploma noodzakkelijk en zelfs voor personen met uitzonderlijke talenten want talent moet ook gezien en begrepen worden.
Door Anoniem: hoever zou iommu (vt-d bijvoorbeeld) dit tegen kunnen houden?
iommu is zeg-maar mmu-voor-io. mmu doet de afscherming van toegang tot niet-toebedeeld geheugen, en die kan rowhammer in geheugen niet tegenhouden. Dus waarom denk je dat iommu dat ineens wel zou kunnen?Door dutchfish: Ik heb altijd al stiekem gedacht dat ECC niet een oplossing voor de toekomst zou zijn.
Ik denk dat ECC alleen maar belangrijker aan het worden is, aangezien de hoeveelheid geheugenbits in een systeem wel blijft oplopen, maar de error rate per bit niet navenant zakt. Hetzelfde probleem met disk, overigens.Dat ondanks dat het overweldigd kan worden met rowhammer. Wat best nog wat moeite kost, want in plaats van een enkel bit moet je er minstens drie omkegelen. Succesvol misbruik kost dan ook meer tijd en moeite dan rowhammer zonder ECC.
Misschien moeten we ternary computing weer terughalen. Het kindje dat met het spreekwoordelijke badwater is weggespoeld.
Leg eens uit hoe dat het probleem zou oplossen?Dat is wat ze "wetenschap" noemen tegenwoordig?
Welk belang heb jij erbij om dit aan de kaak te stellen? Doet de vorm waarin het wordt gepreseteerd iets af aan de inhoud van het bericht?Door Anoniem:
Jij weer met je "hackers". Betekent niets. Wetenschap betekent voor jou kennelijk ook niets.Dat eerste moet je maar van ze aannemen en dat tweede is wel wat ze graag willen laten zien maar helaas pindakaas is dat volstrekt irrelevant voor of je op universitair niveau wetenschap bedrijft.
De VU heeft goed werk verricht en het is ook best cool wat ze hebben gedaan.
Je kan niet verwachten dat ze elke keer iets nieuws spectaculairs uitvinden, goede hackers schrijven in hun leven misschien maar 1 goede exploit en die proberen ze zolang mogelijk te onderhouden (en maskeren zodat deze niet gedetecteerd wordt)De VU heeft goed werk verricht en het is ook best cool wat ze hebben gedaan.
Als ik "universitair niveau" en "wetenschap" zeg dan bedoel ik daar vrij specifieke dingen mee. Niet "hackers" en "popie-jopie verhaaltjes". Niet of het "best cool" is wat ze gedaan hebben.
Je zegt dus eigenlijk dat het wel prima is dat ze zich voordoen als "tophacker" (wat jij er ook mee mag bedoelen, de term is volstrekt betekenisloos) door lekker popie-jopie een sappig verhaal op te hangen. En mischien is dat ook wel zo, maar wetenschappelijk is dat allerminst. En ja, dan volgt makkelijk de conclusie dat "een universiteit is niet zo bijzonder". Dus waarom hebben we er dan nog wel twee in Amsterdam?
Ze doen zich helemaal niet voor als Tophackers, maar als wetenschappers en wetenschappers doen vaak alles eraan om hun conclusie door te drukken. Er zijn weinig onderzoekers die kritisch zijn op hun eigen werk en de beperkingen ervan.Over unie lees laatste stuk
Wat was het punt ookalweer van wetenschap?
Ik heb een WO opleiding gedaan en het doel van een WO opleiding is niks meer dan kritisch leren denken en leren onderzoek doen.Tsja, dan kunnen we de universiteiten wel gewoon opdoeken, wegens toch niet meer dan een leuk stukje vernis op je CV. Dat vernis kan dan een stuk simpeler, met een mbo-opleiding waar ze goudgerande diplomas uitreiken inplaats van op gewoon papier.
Voor de gemiddelde persoon zonder uitzonderlijke talenten is een diploma noodzakkelijk en zelfs voor personen met uitzonderlijke talenten want talent moet ook gezien en begrepen worden.Door Anoniem:
Ja. Het belang is dat "de wetenschap" het instituut is waar wij veel van onze prestaties als westerse beschaving en zelfs mensheid te danken hebben. Dus komt er iets uit "wetenschappelijke" koker geef je daar aandacht aan omdat daar zekere beloftes over rigoreusheid en zorgvuldigheid aan vast zitten, wegens wetenschappelijke methode en wat dies meer zij.Dat is wat ze "wetenschap" noemen tegenwoordig?
Welk belang heb jij erbij om dit aan de kaak te stellen? Doet de vorm waarin het wordt gepreseteerd iets af aan de inhoud van het bericht?Als dan dus de "wetenschappelijke" instituten in de verste verte niet aan die basis kan voldoen, vallen ze van hun wetenschappelijke sokkel en zijn het niet meer dan bezigheidsclubjes. Het aanzien dat ze vanuit hun dus-kennelijk-toch-niet-zo-wetenschappelijke prestaties genieten vervliegt dan. Met andere woorden, ze hebben een reputatie hoog te houden en wat deze omhooggevallen mbo-leerlingen gepresteerd hebben voldoet daar echt niet aan.
Weet je gelijk waarom ook mbo-leerlingen tegenwoordig "student" willen heten.
Door Anoniem:
Leuk hoor, dat de VU lekker popie-jopie doet met "vusec.net" (en niet, oh, sec.vu.nl ofzo) en nog misinformatie verspreidt ook ("cosmic rays" zijn niet de oorzaak van omgevallen bitjes, daar heeft ik meen IBM al jaren terug een studie naar gedaan in een met lood afgeschermde ruimte).
Leuk hoor, dat de VU lekker popie-jopie doet met "vusec.net" (en niet, oh, sec.vu.nl ofzo) en nog misinformatie verspreidt ook ("cosmic rays" zijn niet de oorzaak van omgevallen bitjes, daar heeft ik meen IBM al jaren terug een studie naar gedaan in een met lood afgeschermde ruimte).
Je vlees-geheugen heeft ook wat geflipte bitjes - en _jij_ verspreid dus mis-informatie met betrekking tot cosmic rays.
IBM (en ook Micron) heeft inderdaad onderzoek gedaan naar soft errors in geheugen tgv van kosmische straling, en de conclusie is dat dat gewoon de hoofdoorzaak is van soft-errors in geheugen.
Inderdaad inclusief testen in een mijn behoorlijk onder grond, op zeeniveau, en op hoger niveau (Denver, +1 mijl, Leadville, CO - +2 mijl) met een duidelijke correlatie in het aantal soft-errors . Als in : factor 3-5 in Denver, factor 100 in vliegtuigen @10KM .
presentatie van Intel over dit onderwerp , verwijst ook naar het IBM onderzoek.
http://webhost.laas.fr/TSF/IFIPWG/Workshops&Meetings/44/W2/05-Mukherjee.pdf
En nog een whitepaper :
https://tezzaron.com/media/soft_errors_1_1_secure.pdf
Ja. Het belang is dat "de wetenschap" het instituut is waar wij veel van onze prestaties als westerse beschaving en zelfs mensheid te danken hebben. Dus komt er iets uit "wetenschappelijke" koker geef je daar aandacht aan omdat daar zekere beloftes over rigoreusheid en zorgvuldigheid aan vast zitten, wegens wetenschappelijke methode en wat dies meer zij.
Als dan dus de "wetenschappelijke" instituten in de verste verte niet aan die basis kan voldoen, vallen ze van hun wetenschappelijke sokkel en zijn het niet meer dan bezigheidsclubjes. Het aanzien dat ze vanuit hun dus-kennelijk-toch-niet-zo-wetenschappelijke prestaties genieten vervliegt dan. Met andere woorden, ze hebben een reputatie hoog te houden en wat deze omhooggevallen mbo-leerlingen gepresteerd hebben voldoet daar echt niet aan.
Weet je gelijk waarom ook mbo-leerlingen tegenwoordig "student" willen heten.
Dus je bent principieel, zelfs als dat in de weg zit? Van mij mag je, maar ik doe er niet aan mee. Ik kijk naar de inhoud, beoordeel de methodiek en of die reproduceerbaar is, en vervolgens doe ik er mijn voordeel mee. Moet je eens zien wie van ons het verder schopt :-). Want besef wel dat deze instituten alleen in jouw hoofd van hun sokkel vallen, bij mij en vele anderen zeker niet. In mijn ogen doe je jezelf tekort met deze houding. Werk je mogelijk zelf in het (wetenschappelijk) onderwijs? Ik betrapt zulke personen er vaker op dat ze 'hun onderwijs' veel belangrijker maken dan het in feite is. De enige die een PhD gaaf vind is een andere PhD ;-). Als dan dus de "wetenschappelijke" instituten in de verste verte niet aan die basis kan voldoen, vallen ze van hun wetenschappelijke sokkel en zijn het niet meer dan bezigheidsclubjes. Het aanzien dat ze vanuit hun dus-kennelijk-toch-niet-zo-wetenschappelijke prestaties genieten vervliegt dan. Met andere woorden, ze hebben een reputatie hoog te houden en wat deze omhooggevallen mbo-leerlingen gepresteerd hebben voldoet daar echt niet aan.
Weet je gelijk waarom ook mbo-leerlingen tegenwoordig "student" willen heten.
Tot slot over die denigrerende mbo opmerkingen: dat siert je niet. Deze mensen doen - ook op IT gebied - veel nuttig werk en verdienen daar respect voor. Omhooggevallen PhD's die nog nooit 'echt' hebben gewerkt zijn in mijn ogen vervelende dat mbo-ers die de helicopterview missen. Mbo-ers willen vaak graag leren, en die drive (i.c.m. vaak vele jaren werkervaring) maakt dat zij een aanwinst zijn in menig bedrijf.
Tot slot: dat hele 'student' gebeuren is puur gekomen doordat mbo-ers geen aanspraak kunnen maken op een ov-jaarkaart en toegang tot studentenverenigingen. Vooral die laatste mag wel eens wat meer openheid tonen, want dat old-boys netwerk is echt niet meer van deze tijd.
Door Anoniem: Dus je bent principieel, zelfs als dat in de weg zit? Van mij mag je, maar ik doe er niet aan mee. Ik kijk naar de inhoud, beoordeel de methodiek en of die reproduceerbaar is, en vervolgens doe ik er mijn voordeel mee.
Dat is nou precies waar dat hele "wetenschappelijke methode" om draait. Dus doe je daar eigenlijk wel aan mee, of wil je het iig, ook al weet je het niet te verwoorden en heb je niet echt een duidelijk idee waar je naar moet kijken.En het punt is dat er inderdaad grote stukken academia zijn tegenwoordig, die nog wel de schijn van respectabiliteit weten op te houden, maar intussen inhoudelijk volstrekt en volledig onwetenschappelijk bezig zijn. Zo hadden we een hoogleraar die z'n data niet eens zozeer krentenpikte, maar gewoon volledig verzon. Zo was daar een "professor" die een ouevre-prijs in ontvanst mocht nemen (van een presentatrice die vervolgens "onafhankelijk" een intervieuwtje ging doen met dezelfde professor, make of that what you will) en die zichzelf openlijk "post fact" noemt.
En wat is wetenschap zonder feiten? Daar zit helemaal niets reproduceerbaars aan.
Tot slot over die denigrerende mbo opmerkingen: dat siert je niet. Deze mensen doen - ook op IT gebied - veel nuttig werk en verdienen daar respect voor. Omhooggevallen PhD's die nog nooit 'echt' hebben gewerkt zijn in mijn ogen vervelende dat mbo-ers die de helicopterview missen. Mbo-ers willen vaak graag leren, en die drive (i.c.m. vaak vele jaren werkervaring) maakt dat zij een aanwinst zijn in menig bedrijf.
Je hebt dus de opmerking niet begrepen.en die zichzelf openlijk "post fact" noemt.
Ah, je werkt in Tilburg vermoed ik? Op dat vlak zijn we het in ieder geval wel eens: er is veel te veel junk-science op het moment. Combineer dat met een academische wereld met een enorme druk op het publiceren van papers, en de cirkel is rond. Toch geldt dat niet voor dit nieuwsbericht: in de wereld van IT security is juist een enorm gebrek aan goed onderzoek, of eigenlijk onderzoek in het algemeen. Of het het is onderzoek 'waar wij een hele mooie oplossing voor hebben'. Commerciele bullshit dus, die op geen enkele manier te verifiëren is. In die wereld zijn de Uni's en Hogescholen een welkome toevoeging, zeker zij die zich toeleggen op security middels specifieke opleidingen, labs enz. Laten we daar vooral zuinig op zijn. De VU, samen met de RU Nijmegen, Leuven, Toronto en enkele Duitse uni's zijn eigenlijk de enigen die goed/nuttig onderzoek voortbrengen.Je hebt dus de opmerking niet begrepen.
Je brengt het gewoon lomp, dat is het euvel. Als ik een mbo-er was geweest dan had ik je dat zonder woorden duidelijk gemaakt ;-).Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.