Mededeling

Collapse
No announcement yet.

"Beveiligingsonderzoek is onethisch"

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • "Beveiligingsonderzoek is onethisch"

    "Beveiligingsonderzoek is onethisch"

    Draagt beveiligingsonderzoek bij aan veiligere software? volgens beveiligingsexpert Marcus Ranum is dit niet het geval. Ranum gaat de discussie aan met Bruce Schneier, die er wel van overtuigd is dat dit soort onderzoek nodig is. "Onderzoek naar beveiligingslekken is vitaal, omdat het onze nieuwe generatie beveiligingsexperts traint. Natuurlijk zorgen nieuw ontdekte lekken in software en op vliegvelden ervoor dat we risico lopen, maar ze geven ons ook realistische informatie over hoe goed de security daadwerkelijk is. En natuurlijk zijn er meerdere manieren om met kwetsbaarheden om te gaan. Aanvallers zijn echter ook continu op zoek naar lekken, en als we onze systemen willen beveiligen, dan moeten de verdedigers tenminste net zo goed zijn."

    Ranum merkt op dat de theorie van Schneier niet klopt, omdat we nog steeds met buffer overflows te maken hebben, ook al werden die 20 jaar geleden al ontdekt. Er is zelfs geen enkele categorie beveiligingsproblemen compleet verdwenen. "Daar gaan voorstanders van beveiligingsonderzoek de mist in. Als je dingen wilt verbeteren, moet je zoeken naar een medicijn voor verschillende problemen, niet voor een enkel geval. Beveiligingsonderzoek bestaat globaal genomen uit: 'zoek een lek in belangrijke software, zodat ik mijn 15 seconden van beroemdheid krijg, een bedankbriefje dat je bij de vendor weet af te persen en een beloning op de markt voor lekken.' Dat heeft niets met onderzoek te maken, dat is gewoon zoeken."

    Bijna alle onderzoekers vergeten aan te geven hoe de software beter gemaakt kan worden. En het onderzoek heeft ook een schaduwzijde, want de software is dan niet verbeterd, hij is wel duurder geworden. Door het zoeken naar lekken hebben vendors een nieuwe manier gevonden om klanten aan zich te binden. Wie geen contract voor upgrades afneemt, loopt ernstig risico om gehackt te worden. En de situatie wordt alleen maar erger, want veilig programmeren is nog lang geen gemeengoed en software wordt alsmaar complexer.

    Security.nl
Sorry, you are not authorized to view this page
Working...
X