Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Managers nemen beveiliging niet serieus genoeg

02 maart 2000 - 23:005 minuten leestijdOpinieCloud & Infrastructuur
Fred Mobach
Fred Mobach

Managers zijn geneigd te denken dat het met de veiligheid op Internet wel in orde is. Een eigen onderzoekje sterkte Fred Mohbach in die mening. Maar als je beveiliging serieus neemt, accepteer je zelfs geen enkele vorm van scripting in browser of mailreader, vindt hij. Over de relatie tussen veiligheid, Stacheldraht en het drielagen-model. 

Op een dag dacht ik te kunnen deelnemen aan de discussiefora van Computable Online, die op (internet)beveiliging betrekking hebben. Maar helaas lukte dat niet. Het schijnt alleen te kunnen, indien naast de frames ook ondersteuning wordt geboden voor (Java)applets. Jammer. Iemand die zich iets aan beveiliging gelegen laat liggen, accepteert noch in een browser noch in zijn mailreader welke vorm van ‘scripting’ dan ook. Onder een Unix(achtig) besturingssysteem is een geslaagde aanval dan wel
minder desastreus dan onder Windows, maar ik heb er geen behoefte aan om het risico te lopen al mijn data in de ‘home directory’ kwijt te raken. Een backup kost dan wel wat tijd, maar een ‘restore’ komt toch altijd ongelegen.
U denk wellicht: ‘waar maakt die man zich zorgen over, de website van Computable hoort toch tot de vertrouwde websites’. Op zich is dat waar, maar wie kan mij garanderen dat ik vandaag via DNS naar hetzelfde IP-adres wordt verwezen als gisteren bij het ingeven van de URL https://www.computable.nl ? Niemand die van wanten weet, zal dat doen. Hij weet immers hoe eenvoudig het is om DNS-registraties te laten wijzigen door anderen dan de geautoriseerde personen. Dat lukt vrij eenvoudig via de normale kanalen. Mocht dat mislukken door een wat ‘overijverig’ persoon bij de registrerende instantie, dan is er nog de dikke kans dat een paar DNS-servers op een wat verouderde versie van bind draaien. Dan kost het iets meer moeite om de DNS-tabellen aan te
passen, maar het geeft uiteindelijk hetzelfde resultaat. Conclusie: ‘In God we trust, the rest we monitor’.
Voor wie deze mogelijkheden ongelofelijk toeschijnen: lees het archief van de Bug Traq mailinglist er eens op na. Zoek http://www.securityfocus.com op, kies dan forums, vervolgens Bug Traq en lees de FAQ. Veel plezier, en poog daarna nog maar lekker te slapen!

Stacheldraht

Veel managers denken veilig te zijn op Internet. De meesten hebben geen verstand van techniek en weigeren naar hun technici te luisteren; verkopers hangen mooiere verhaaltjes op. Dergelijke mensen treffen we ook aan bij Yahoo!, E-bay enzovoort. Die hebben dan ook geen tijd verspild aan het lezen van (onder meer) de Bug Traq mailinglist. Anders waren ze allang op de hoogte van de mogelijke effecten van bijvoorbeeld Stacheldraht: een soort aanval, waartegen het moeilijk is je te verdedigen. Op zich is het wel mogelijk, maar de bestaande TCP/IP-stackimplementaties zijn er niet op gebouwd. Als die stacks berichten voor bestaande (en eventueel gecontroleerde) verbindingen zouden bevoorrechten, dan zouden pakketten voor reeds opgebouwde verbindingen eerst worden afgewerkt alvorens tijd te besteden aan nieuwe verzoeken tot een verbindingsopbouw. Deze stelling is ietwat eenvoudig geformuleerd, maar geeft het basisidee aardig weer.
Overigens is Stacheldraht een perfect voorbeeld van systeembeheer op afstand en weer beter dan Back Orifice. Je hebt een enkel centraal werkstation dat een aantal computers op afstand aanstuurt, die op hun beurt weer elk een aantal andere systemen opdrachten verstrekt. Als dat bijvoorbeeld gebeurt in een verhouding van 1 op 10, dan is het in dit geschetste drie-lagenmodel mogelijk om via een enkel master-werkstation uiteindelijk duizend computers bepaalde taken uit te laten voeren. Het model staat het echter toe om meer dan drie lagen te gebruiken. In het kader van dit artikel ga ik niet in op de gevolgen daarvan. (Mocht iemand hierover iets willen weten, dan kan hij contact met me opnemen.)
Een aardige exercitie zou trouwens zijn om het optimum in dit x-lagen model te bepalen. Enerzijds wordt het risico op uitval hoger naarmate het basisgetal (in mijn voorbeeld 10)
kleiner wordt, anderzijds wordt de kans op ontdekking ook kleiner. Ook hier schijnt het onmogelijk te zijn om op voorhand een optimale oplossing te bepalen; die hangt blijkbaar af van de gewenste situatie.

Aan de slag!

Enkele maanden geleden had ik het geluk om indirect te kunnen toetsen of de theorie (een gebrek aan beveiligingsbewustzijn) juist is. Enkele Amerikanen hadden me voordien verteld dat 80 procent van de bedrijfsmatige Internetaansluitingen geheel onbeveiligd zou zijn, niet alleen in Amerika, maar ook in Europa.
Ik gaf destijds een lezing voor de Nederlandse Unix User Group (http://www.nluug.nl) over
internetbeveiliging en heb toen aan mijn gehoor enkele vragen gesteld. Dat gehoor bestond uit (het zal u in deze context niet verbazen) Unix-deskundigen, mensen die meer dan gemiddeld alert zijn op beveiliging. Op mijn vraag wie een verbinding had tussen een binnen de organisatie belangrijk netwerk en het Internet, antwoordde 80 procent positief. Op mijn vraag wie meer dan f 10.000,- aan beveiliging (manuren, apparatuur, enzovoort) had uitgegeven, kon minder dan 40 procent positief antwoorden. Mijn (uitgesproken) conclusie was dan ook, dat er meer dan genoeg werk op dit terrein is.
 
Fred Mobach, Echteld
fred@mobach.nl

Meer over

Browsers

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Meer lezen

    OpinieSecurity & Awareness

    Inzicht in kwetsbaarheden aanvalsoppervlak gaat voor budget

    AchtergrondCloud & Infrastructuur

    Eigen datacenter, colocatie of cloud?

    ActueelCloud & Infrastructuur

    Vier doden bij brand Egyptisch datacenter

    Start
    ActueelCloud & Infrastructuur

    Kort: Vergunning voor datacenter EvoSwitch, piepjonge Perry haalt 1,6 miljoen op (en meer)

    Filter
    OpinieCloud & Infrastructuur

    Ddos-aanvallen (en waarom L3-filtering niet optioneel is)

    Handen, samenwerken, fusie
    ActueelOverheid

    Meer regie en samenwerking bij digitalisering overheid

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs