ISC2-gecertificeerde mensen zouden in aanmerking komen om de beveiliging van onder meer sites te auditen, zo luidde de mening van Steph Marr in deze rubriek. Brenda Langendijk is het niet met hem eens. ‘Zij weten onvoldoende van de techniek waarmee al die Internetsites en koppelingen zijn opgebouwd.’
Het beveiligen van websites en netwerkkoppelingen, vooral die aan het Internet gekoppeld zijn, is een hele klus. Om zowel de technische als de organisatorische stand van zaken bij te houden moeten bedrijven zich de nodige inspanningen getroosten.
Steph Marr beweert in zijn artikel ‘ethische hackers: rage of echt afschrikmiddel’ (Computable, 18 februari) dat ‘ethische hackers’ wellicht niet zo’n goede keus zijn om de beveiliging van sites en netwerken te auditen. Hij slaat de plank volledig mis.
ISC2-gecertificeerde mensen zouden wel in aanmerking komen om de beveiliging te auditen.
Helaas is het zo dat juist deze mensen niet voldoende weten van de techniek waarmee al die Internetsites en koppelingen zijn opgebouwd. Daarentegen weten zij wel voldoende van de organisatie en procedures.
Zijn stelling onderbouwt de auteur door de ‘denial of service attacks’ op Yahoo, Amazon en E-bay te bestempelen als ‘e-mailstormen’. Jammer, maar technisch gezien zit hij er hier volledig naast. De afgevuurde ‘denial of service attacks’ tegen eerdergenoemde websites hebben niets te maken met het Smtp-protocol en dat zou iedere beveiligingsadviseur moeten weten. Natuurlijk zal niemand deze wijze van elektronisch vandalisme goedkeuren, maar een eenvoudige oplossing voor dit probleem is er niet. Noch procedureel, noch technisch.
Wel is het helaas zo – en daar heeft de auteur gelijk in – dat het imago en de beurskoers van de getroffen bedrijven erdoor beïnvloed worden.
Bedrijven die hun website, netwerkkoppelingen en alle andere op TCP/IP bedreven processen serieus nemen, zouden zowel de organisatorische als de technische moeilijkheden die hiermee gepaard gaan, moeten laten auditen. Doen bedrijven slechts een van beide, dan bestaat de kans dat de ‘cracker’ binnen komt.
Let wel, ik spreek hier van ‘cracker’! Al die zichzelf ‘internet beveiligingsexpert’ noemende mensen dienen het verschil te weten tussen de term ‘hacker’ en ‘cracker’. Kort door de bocht gedefinieerd: daar waar de ‘hacker’ alleen maar technische kennis wil verzamelen, wil de ‘cracker’ meer, namelijk geldelijk gewin of egotripperij.
Voor bedrijven die serieus met hun beveiliging omgaan nog de volgende tip: ‘willekeurige personen’ binnen halen voor een beveiligingsaudit ondermijnt je beveiliging; dan maakt het niet uit of ze ‘ethisch hacker’ of ‘ISC2 gecertificeerd’ genoemd worden.
Brenda Langedijk, Security Consultant Roccade Internet Security Center
