Updates klinkt leuk. Maar... vertrouw je de maker van de update?
Simpeler: hang niet aan internet wat niet aan internet hoeft te hangen. Ook dat is niet 'fool-proof', maar het maakt het de crimineel wel een heeeeeel stuk moeilijker.

Als je de maker van de updates/apparaat niet vertrouwd waarom gebruik je de software/hardware? Beetje een onlogische vraag.

Was dat niet diezelfde overheid die zei dat de natuurwetten zich hebben aan te passen aan de Australische wetgeving.

Als je de maker van de update niet vertrouwd kun je de software (of het apparaat) beter helemaal niet gebruiken. Het installeren van de updates die de fabrikant voorschrijft is altijd noodzakelijk, ook als een apparaat niet (rechtstreeks) aan het internet hangt.

Stop cybercriminelen met de volgende vier eenvoudige stappen:

1. Gebruik Ubuntu Pro LTS met DISA-STIG hardening.
2. Gebruik een Nitrokey en open coreboot hardware.
3. Gebruik OpenZFS snapshots en offline backups.
4. Gebruik een betrouwbare wachtwoordenbeheerder.

Afkortingen

DISA = US Defense Information Systems Agency
STIG = Security Technical Implementation Guide
https://ubuntu.com/security/disa-stig

Nitrokey FIDO2 [Made in Germany]
https://en.wikipedia.org/wiki/Nitrokey

Commentaren

1. Fedora met SELinux of Qubes OS is voor experts en onderzoeksjournalisten.
2. Een NitroPad T430 is een met coreboot firmware omgebouwde ThinkPad laptop.
3. Ubuntu LTS kan worden geïnstalleerd met ZFS. Ombouwen naar Pro is eenvoudig.
4. Het vinden van een echt goede wachtwoordbeheerder is nog een hele kunst.

https://en.wikipedi.org/wiki/List_of_password_managers

Waarschuwing

https://www.security.nl/posting/753841/Sla+wachtwoorden+niet+op+in+browser

Muv multifactorauthenticatie was dit "nieuws" al in de jaren 90 een silver bullet voor je cyber security problemen. De tijd leert ons dat deze zaken nog steeds niet goed geregeld zijn en dus zal het ook deze keer weer wishfull thinking zijn.

[qoute] volgens het Australische Cyber Security Centre (ACSC) ontvangt het steeds meer meldingen over cybercrime, maar kunnen de vier basismaatregelen helpen om Australië de veiligste plek maken om online te gaan en voorkomen dat systemen en accounts worden gecompromitteerd. [/quote]
What a load of bollocks...

Allereerst, 99% van alle corporate bedrijven doen dit, en zijn toch slachtoffer... dus het werkt niet.

#1 het installeren van beveiligingsupdates,

De laatste grote hack van een monitoringsysteem kwam binnen via het officiele update kanaal. werkt niet dus. bovendien loop je door dit te roepen de kans dat mensen eerder in 'update scams' trappen, want hun software is out-of-date, installeer malware.exe om weer helemaal up2date te zijn...


#2 inschakelen van multifactorauthenticatie,

95% van de mensen weet hun wachtwoord niet meer nadat ze het 1 maand niet gebruikt hebben... Hoe gaat dit werken met MFA ? Gaan ze hun MFA altijd bij zich hebben? Hoe gaan ze reageren op MFA-bombardementen? Al met al, weer een hoop onzin.

#3 maken van back-ups

Maken van backups... dat is een vak op zich... kunnen ze nog bij de backup na het maken? hebben ze alles gebackupped wat ze nodig hadden? Hoeveel dagen zijn ze kwijt? Hoe lang is de backup bezig?


#4 het gebruiken van passphrases en wachtwoordmanagers.

Ja, stop alle eieren in 1 mandje... dan wordt de waarde van dat mandje natuurlijk niet interessant voor criminelen... Alles in 1 keer binnen.

Er is geen 1 size fits all.. er is geen magisch certificaat waarbij je slim wordt.. en er zijn geen slimme ambtenaren in australie.

De risico's en threats van vandaag zijn compleet anders dan in de jaren 90.

Stap 1 is realistisch, je wil niet weten hoe vaak je nog oude spullen ziet en hacks bij bedrijven die binnen zijn gekomen door bestaande, vermijdbare, beveiligingslekken.
Stap 2: lang niet iedereen heeft het en het fake 2FA waarbij je slechts op akkoord of niet akkoord (of iets soortgelijks) moet tikken is niet afdoende, zelfs Microsoft begint dat inmiddels de begrijpen.
Stap 3: backups, offline backups en daar hoort ook recovery en recovery testen bij en ja dus ook prioriteiten stellen, je wil geen recovery van 3 jaar omdat je dat niet gedaan hebt en de online backup faciliteit er zo lang over doet om alles te herstellen.
Stap 4: geen LastPass dus bijvoorbeeld, wachtwoorden of wachtwoord zinnen zijn een eeuwig durende discussie. Grote tech bedrijven willen van de wachtwoorden af en die vervangen door cryptografische sleutels, maar ja lokaal houd je nog altijd een wachtwoord.
Maar goed, als de meeste bedrijven deze stappen nu eens fatsoenlijk zouden implementeren, dan gaat dat zeker helpen. Al is het maar tegen alle cyber boefjes die nu misbruik maken van het feit dat de bedrijven en organisaties nog minder kennis hebben dan zijzelf.