Gratis penetratietest door studenten heeft weinig waarde.
Volgens minister Plasterk zijn studenten uitstekende hackers. Nu ben ik uitermate trots op onze studenten, maar toch denk ik dat de waarde van een penetratietest door een groep onervaren (maar zeker inhoudelijk deskundige) studenten beperkt is. De overheid wil kennelijk voor een dubbeltje op de eerste rang zitten.
Een penetratietest moet een serieus onderdeel zijn van een totaal beveiligingsplan, en dus professioneel opgepakt worden. Gratis studenten gebruiken wekt bij mij de indruk dat de overheid beveiliging niet echt serieus neemt. Zeker als je bedenkt dat een goeie exploit voor (tien)duizenden euros verkocht kan worden… Daar komt nog bij dat een penetratietest op zichzelf nog maar weinig zegt over de veiligheid van een systeem. Wel als er lekken gevonden worden. (Maar ook dan geldt dat er geen koe zo bont is of er zit wel een vlekje aan.) Maar als er geen gaten gevonden zijn betekent dat niet meteen dat die er ook echt niet zijn. Dat hangt onder meer af van de reikwijdte van de uitgevoerde penetratietest, de tijd die je er in stopt, en de kwaliteit en ervaring van de testers natuurlijk.
Daar staat tegenover dat wij wel de waarde zien van zo’n penetratietest voor de studenten zelf, als onderdeel van hun opleiding tot security expert. Aan de Radboud Universiteit zijn we op dit moment bezig een bachelorprogramma computer security op te zetten, die 1 september 2013 van start gaat. Onderdeel van het bachelorprogramma zou een 2e of 3e jaars vak kunnen zijn waar zo’n penetratietest een onderdeel van uit maakt. Daar gaan we nog eens over nadenken.
Elektronisch stemmen: de wereld tussen ‘njet’ en ‘ja en amen’
Minister Plasterk heeft onlangs aangegeven weer serieus te willen nadenken over het invoeren van elektronisch stemmen. Is dit, gezien de eerdere commotie rond dit onderwerp, en de afschaffing van de stemcomputer in Nederland in 2008, nou wel zo’n goed idee?
Does a centralised eID service in the German eID system pose a privacy risk?
Ideally, a relying party that needs to verify certain attributes of a user would do so all by himself. However, in the new German eID system there are currently 7 so called eID service providers that handle this task on behalf of many relying parties. The Germans did this to allow service providers to quickly adopt the new eID system, because they can simply contract an eID service provider instead of implementing the functionality themselves. However, this creates a hotspot. For all users the eID service provider sees all attributes verified for all relying parties it services. The eID service provider is therefore in principle able to link a user to all the relying parties it visits, together with the relevant attributes. This appears to be a serious privacy risk. Or isn’t it?
Veiligheid en privacy kunnen prima samen, maar pas op voor risicoprofilering.
Maatschappelijke veiligheid staat nog steeds hoog op de politieke agenda. Onlangs deed minister Opstelten een aantal nieuw voorstellen, bijvoorbeeld om de politie het recht te geven terug te hacken en om verdachten te verplichten versleutelde berichten te ontsleutelen. Of het nu gaat om criminaliteit terugdringen, terrorismebestrijding of crisisbeheersing; burgers verwachten een daadkrachtige overheid.
Het landelijke netwerk van slimme meters: veiligheid lijkt vooral gestoeld op onderling vertrouwen.
Het was vandaag een productieve dag op het Privacy & Identity Lab. Erik Poll legde helder uit hoe het slimme meter netwerk in Nederland er uit gaat zien. Hieronder mijn samenvatting.
leave a comment