De gebruiker is altijd de grootste kwetsbaarheid. Interessant dat tot nu toe 68% een andere keus maakt.

PEBCA = Er is een probleem tussen stoel en toetsenbord." Met andere woorden, het probleem is de gebruiker. Hieronder volgen vergelijkbare
PEBCAK is een afkorting voor "Probleem bestaat tussen toetsenbord en stoel".

Gebruikt door ondersteunende mensen, met name bij callcenters en helpdesks. Een bruikbare term om de incompetente gebruiker te vernederen zonder het echt in hun gezicht te zeggen.

Het absolute punt van oorsprong is moeilijk vast te stellen. Het acroniem verschijnt op word-detective in 1998 en gezien de context klinkt het alsof het al een algemeen bekende grap was onder vertegenwoordigers van de klantenondersteuning van die tijd.

Hierboven staat een niet goed te volgen uitleg. Daarom een toevoeging:

PEBCAK: Problem Exists Between Chair And Keyboard

Vrij vertaald: het probleem bevindt zich tussen stoel en toetsenbord.

Meer on-topic: het grootste risico (kwetsbaarheid is te specifiek) is met afstand de mens zelf. Dus PEBCAK is het enige juiste antwoord.

Ik ken ook de ID10T meldcode; die is een factor ernstiger dan PEBCAK.

Ze zijn in potentie allemaal even gevaarlijk :-)

Remote Command Execution is geen kwetsbaarheid, maar iets wat je zou kunnen doen na het exploiteren van een kwetsbaarheid.

PEBKAC is natuurlijk het enige goede antwoord :)

Antwoord is ongetwijfeld in het merendeel van de gevallen PEBKAC.
Alleen dit probleem wordt niet of nauwelijks aangepakt.
Eigenlijk op geen enkele wijze enigszins aangepakt en blijft de grote vraag - waarom?

Je ziet het bij eindgebruikers. Je ziet het door het ontbreken van sancties.
Je ziet het bij IT opleidingen. Je ziet bij development, Je ziet het dus overal.

Dan vragen we ons af - wie houdt de wereld arm, dom en onwetend en derhalve PEBKAC gaande en waarom?

Ik denk de core interessen van de heersende krachten op aarde (DARPA, Big Commerce en BIg Gov etc).
That's all folks. Nothing to see here.. Het zal nooit veranderen.
Tenminste niet voor en niet na de big reset.

luntrus

Volgens mij moet het PIBKAC zijn en is het uitgeschreven: Problem In Between Keyboard And Chair.

De mens is één van de zwakste schakels binnen organisaties als het aankomt op cybersecurity. Dat zal voor velen niet nieuws zijn, maar recent onderzoek van ProofPoint bevestigt dit nu met stevige cijfers. In het ‘Human Factor Report 2019’ wordt beschreven dat de menselijke factor in 99 procent van de gevallen het zwakste punt is in de verdediging tegen cyberbedreigingen. Hoe worden menselijke fouten door cybercriminelen misbruikt, en hoe kunnen bedrijven zich weren tegen deze zogenaamde ‘social engineering’?

Ik vind Remote command execution niet echt in het rijtje passen. Alle andere opties zijn "je weg naar binnen". Remote Command Execution is iets wat je doet als je binnen bent.

Het is interessant dat 68% inziet dat er een verschil is tussen vulnarable (de gebruiker hier) en vulnarability (het lek/exploit in software)
Nu, 35,75 %, veegt kennelijk beide begrippen op een hoop, en Security.nl evenzo want zij maakt de zg. PEBCAK, die de psyche betreft (niet de software) tot keuzemogelijkheid.

Een kwetsbaarheid (vulnerability) is pas effectief als de gebruiker deze - hoe raar het ook klinkt - uitvoert als hij/zij daar ontvankelijk, kwetsbaar (vulnerable) voor is.

Het zijn gewoon twee separate begrippen. De een betreft de psyche, de ander betreft de software.

Sommige security-mensen zijn van mening dat security alleen een IT-feestje is. Zo te zien behoor jij ook tot die groep.

Jij hanteert een bepaalde definitie van "kwetsbaarheid", wat je goed recht is, maar besef je wel even dat niet iedereen noodzakelijkerwijs diezelfde definitie hanteert. Jouw definitie van een kwetsbaarheid is een stuk beperkter dan, bijvoorbeeld, de definitie die door CISSP gehanteerd wordt.

Threat: Any natural or man-made circumstance that could have an adverse impact on an organizational asset.
Vulnerability: The absence or weakness of a safeguard in an asset that makes a threat potentially more likely to occur, or likely to occur more frequently.
Asset: An asset is a resource, process, product, or system that has some value to an organization and must, therefore, be protected.
https://resources.infosecinstitute.com/category/certifications-training/cissp/domains/security-and-risk-management/cissp-risk-management-concepts/

Volgens die definitie is het maken van een fout door een gebruiker dus een bedreiging (=threat), en een gebrek aan kennis, ervaring, awareness of training dus een kwetsbaarheid (=vulnerability). En elke security professional die z'n salaris waard is, zou moeten weten dat de gebruiker het grootste risico is.

@ gewaardeerde anoniem van 14:48.

Keurige introductie tot begrip afperking in het juist gebruik ervan. Dank daarvoor.

Maar alle zaken zijn op het eerste gezicht niet altijd zo eenduidig.
Bijvoorbeeld bij het gebruik van een string parameter stripper voor URLs.
Dit strippen kan onder meer leiden tot problemen van de gebruiker bij afmelden.
Zie: https://github.com/jparise/chrome-utm-stripper/pull/24

Daaruit alleen al kan men concluderen dat bij adtracking development
de Big Tech core business belangen voorrang hebben.
De eindgebruiker doet er in dit voorbeeld er eigenlijk minder toe.
Tenminste als deze kiest voor blokkeren van mkt_tok marketing tokens.

Wil dit zeggen dat de mondige wetende en geavanceerde eindgebruiker
of onafhankelijk developer een bedreiging vormt voor het voorgeschreven propriety codemodel?

Dat is in het belang van degene die de string-parameter toevoegt en voor wie hij dat doet (Google, facebook etc.)
en de eindgebruiker die zonder problemen zich wil kunnen afmelden.

De eindgebruiker die geavanceerd third & first party tracking wenst te blokkeren staat daarnaast veelal in de kou.
En die het wil omzeilen moet steeds door meer hoepeltjes springen.(obstakels overwinnen).
Alles is dus relatief en dat gezien van het standpunt dat je kiest.

Wat u beschrijft is een ideale situatie, maar die is dat per definitie niet voor iedereen.
Ik als adept van F.R.A.V.I.A, een veel te vroeg overleden searchlore guru
en fel gekant tegen iedere vorm van ad- & smut online,
vind het heel moeilijk dat purisme tegenwoordig te kunnen volhouden.
Zo'n houding wordt van alle kanten belaagd en zelfs veroordeeld.

Het is een eerlijke principe zaak, maar dat wordt je vaak niet in dank afgenomen.
De Big Data Tech Monopolisten hebben reeds al veel te veel macht verworven.

luntrus

Als je reactie was ingeleid met de opmerking "Het kan zijn dat ik het mis heb maar zo te zien behoor jij ook tot die groep.", had ik zin gehad om op de inhoud van je reactie in te gaan. Nu niet meer. Heb zo´n beetje genoeg van stelligheden gebouwd op het drijfzand van aannames.

Oh jee, we hebben weer een nieuwe. Zeikerd. Hij zegt toch al zo te zien, dat betekend al dat het niet zeker is.
Maar ik weet toch vrij zeker dat hij gelijk heeft, jij hoort bij een groep die geen flauw idee heeft waar die het over heeft.

Hoe noem je dit dan? Command Injection?

Waarom zoek je de verklaring in iets waar bewust op aangestuurd wordt terwijl er evident gigantische verschillen in intelligentie zijn tussen mensen, en ook verschillen in het soort intelligentie? Verschil in intelligentie is niet een kwestie van een simpel kunstje wel of niet geleerd hebben of een simpel weetje wel of niet kennen, het gaat om het verschil in vermogen om dingen te begrijpen, vermogen om te redeneren, en vermogen om nieuwsgierig te zijn naar de materie.

Computers zijn voor heel veel mensen veel te abstract. Ik heb meegemaakt dat het me domweg niet lukte om iemand uit te leggen dat er verschil is tussen platte tekst zoals dat in een .txt-bestand wordt opgeslagen en een .doc-bestand waar de opmaak van tekst helemaal nergens is aangepast. Want het concept dat een opgeslagen bestand intern een formaat heeft en dat dat niet identiek is aan wat je op het scherm ziet was onbekend en onbegrijpelijk.

Ik heb in de tijd van 56k6-inbelmodems iemand met een extern modem met een eigen aan/uit-schakelaar niet kunnen uitleggen waarom eerder opgehaalde e-mails opnieuw geopend konden worden terwijl voor nieuwe e-mails dat modem aangezet en ingebeld moest worden. Dat vereist inzicht in datacommunicatie en opslag, en dat inzicht was er niet en was niet uit te leggen.

Ik heb meegemaakt dat iemand op een kantoor gezien werd als degene die werkelijk verstand had van computers, maar die bleek nooit te hebben opgemerkt dat de mappen en bestanden die je met file..open ziet dezelfde zijn die je via de explorer ziet, die dacht dat dat verschillende werelden waren die niets met elkaar te maken hadden.

En ga zo maar door. Deze mensen "begrijpen" iets door te zien dat het zich op een bepaalde manier manifesteert, en door te leren dat bepaalde handelingen bepaalde gevolgen hebben. Ze hebben geen idee van wat er "onder de motorkap" zit, velen vragen zich daar ook niets over af, en er zijn nog heel wat mensen die niet eens zelfstandig op het idee komen dat je je er wat over af zou kunnen vragen. Er zijn mensen die kennelijk zonder enige nieuwsgierigheid naar hoe dingen werken door het leven gaan.

Toen ooit al een paar maanden lang een metro die ik regelmatig nam op een bepaald stuk stapvoets reed, waarbij keurig excuses voor de vertraging werden omgeroepen maar geen enkele verklaring ervoor werd gegeven, vroeg ik aan een groepje medewerkers van het vervoerbedrijf, die een stukje meereden, of zij wisten wat er aan de hand was. Die keken mij en elkaar een beetje verwonderd aan, en een merkte op tegen een collega, met dezelfde verwondering in zijn stem: "o ja, er bestaan mensen die zich dat soort dingen afvragen", alsof dat iets heel uitzonderlijks was. Ze hebben vervolgens heel behulpzaam de centrale gebeld en voor me uitgezocht wat de verklaring was, dat hadden ze zich zelf duidelijk nog niet afgevraagd. Er was wat dat betreft niets mis met hun reactie, maar dit illustreert heel goed dat bij veel mensen een basale nieuwsgierigheid naar hoe dingen werken simpelweg ontbreekt, en zelfs dat het vanuit hun perspectief verwonderlijk is om iemand tegen te komen die het zich wel afvraagt.

Ik vermoed dat dat verklaart waarom veel digibeten die iemand "met verstand van computers" om hulp vragen verwachten dat die snappen wat er mis is en hoe dat opgelost kan worden, op basis van niet meer informatie dan "het werkt niet". Omdat ze zelf niet die nieuwsgierigheid hebben, zelf niet onderzoeken en doorgronden, hebben ze geen flauw benul van het denkwerk dat erbij komt kijken en hoeveel informatie en onderzoek nodig is om de vinger op de zere plek te kunnen leggen. Die lijken te denken dat deskundigen alles wat nodig is domweg meteen weten en paraat hebben, en dat impliceert vermoedelijk dat ze zelf vrijwel uitsluitend functioneren op basis van wat ze aan feitjes en weetjes paraat hebben en geen idee hebben van wat het inhoudt om actief achter informatie te komen die je nog niet hebt.

De ontwikkelaars die van alles implementeren, zeker de meer fundamentele of geavanceerdere zaken, zijn mensen die die nieuwsgierigheid en dat bevattings- en denkvermogen volop hebben, anders konden ze hun werk niet doen. Die kunnen zich op hun beurt geen voorstelling maken van hoe het moet zijn om dat vermogen domweg niet te hebben. Die mensen leven in totaal verschillende werelden. Zie maar eens een applicatie te maken die geschikt is voor iemand wiens manier van denken en functioneren totaal onbegrijpelijk voor je is. En dus wordt er software gemaakt waar gebruikers zich geen raad mee weten.

Wat PEBKAC gaande houdt zijn deze enorme verschillen tussen mensen. De vraag is niet hoe dat in stand wordt gehouden, want dat gaat vanzelf wel. De vraag is hoe je erin kan slagen zulke grote verschillen te overbruggen.

PEBKAC is overigens een denigrerende term omdat het probleem uitsluitend bij de gebruiker van de computer en software wordt neergelegd. Net zo denigrerend is het gekanker op eigenwijze "nerds" die niet maken wat mensen nodig hebben, dat legt het probleem uitsluitend bij de ontwikkelaar neer die, omdat hij het soort brein heeft waarmee software ontwikkeld kan worden, nou eenmaal heel anders denkt dan de eindgebruiker.

... zegt een scheldbeest dat ook nog eens zijn verstand heeft uitgepoept (Zie: nickname.)
Met de werkwoorduitgangsvorm gaat het al mis. Daarna en daarnaast snapt 'scheldbeest' ook al niet het verschil tussen schijnbaar en blijkbaar, want het begrip 'zo te zien' is analoog aan blijkbaar, niet aan schijnbaar.

Oh, voor ik het vergeet te melden:
'Scheldbeest' rekent zich ook tot de elite van Security.nl getuige zijn opmerking "...we hebben weer een nieuwe"... waarna het scheldwoord volgt.
Al met al beledigt scheldbeest andere bijdragers hier inclusief de redactie door hen schelden aan te rekenen door zich met zijn classificatie 'we' met hen te identificeren, et vice-versa.

Kortom: de mentale vermogens zijn zoals gebruikelijk bij scheldbeesten huilen met de pet op, en ik moet er tevens hartelijk om lachen :-)

Noot: Scheldbeest vraagt om scherpslijperij... Dan krijgt scheldbeest met zijn opmerking: z...kerd het ook.

Er zijn waarschijnlijk verschillende vormen van intelligentie.
Van de getrainde " volgens het boekje" opererende cheatsheet volgers als product van het vigilerend opvoeding- en educatie-systeem, naast de meer oorspronkelijk denkend en vrij associërende zich in code vastbijtende geesten en nog vele anderen met ieder de eigen talentvolle bijdrage qua front & backend.
Helaas wordt de kern van de zaak als gezegd bijgestuurd volgens geprefereerde info van Big Tech & stakeholders (ja ook gov.). Dat neemt steeds dringender vormen aan de laatste paar maanden. Jammer maar waar. En zeer aanvallend op de vrije meningsvorming en -uiting.

Daarom is discussie en verkregen inzicht via op elkanders schouders staan zo belangrijk. Dank dat security.nl nog het platform hiervoor biedt. Maak er gebruik van en doe er je voordeel mee.
Leer ook degenen kennen, die je hier opzettelijk en/of "ingekocht" in de weg zitten bij de vrije info-garing van beta denkers en technisch IT talent.
luntrus