Begin mei gaf hoofd van het leger van cybersecurity, generaal-majoor Jonathan Shaw, toe The Guardian dat het ministerie van Defensie kwetsbaar was voor online-aanvallen en dat er al een klein aantal ernstige incidenten had plaatsgevonden. Wat meer schokkend was, was dat Shaw zei dat het een verrassing was voor mensen hoe kwetsbaar ze waren.

Vermoedelijk waren dit geen eenvoudige denial of service-aanvallen. Ze moeten georganiseerd, gecoördineerd en gepland zijn, waarbij de krakers gericht zijn op specifieke systemen en kwetsbaarheden. Het zorgwekkende is de impliciete 'head in the sand'-benadering van sommige van hun beveiligingsprocedures.

Het klinkt alsof je de voordeur openlaat en vertrouwt op de morele wil van zijn burgers om het goede te doen. En dat zal nooit gebeuren. Niet vanwege een mondiale vervalsing van de moraal of een verlangen om te overtreden of slecht te zijn, maar omdat je de nieuwsgierigheid van slimme tieners met te veel tijd niet uit de weg kunt gaan.

Opaqueness is een uitdaging

De enige manier om beveiliging te doen, is naar mijn mening volledige en ongeschonden transparantie. Het verdoezelen van uw procedures geeft u alleen een vals gevoel van uw niet-veiligheid. Het voegt niets toe aan welke systemen je ook hebt en toont alleen een gebrek aan vertrouwen in die systemen en hun mogelijkheden om een ​​aanval te dwarsbomen..

Een vastberaden kraker zal obfuscation zien als een uitnodiging en een uitdaging. Het zal hun tienergierigheid verleiden. De technologie is veranderd, maar ik betwijfel of er een verschil is in de beweegredenen van hedendaagse crackers en die van 20 jaar geleden, het scripten van hun modems om in de nacht in stilte lokale telefoonnummers te draaien in de hoop dat illusoire 'CONNECT' in een terminalsessie te zien.

Als je een nerd bent, zijn er maar weinig dingen die opwindend zijn. Sommigen kunnen crimineel, politiek en gevaarlijk worden, maar ze zijn misschien nooit zo ver gekomen als ze niet konden beginnen met gemakkelijke doelen en door het laaghangende fruit te plukken. Daarom is uw beste verhaal altijd een koude, nuchtere beveiliging.

Om dit te doen, moet u natuurlijk volledig op de hoogte zijn van eventuele kwetsbaarheden. U moet de systemen up-to-date houden en weten waar u moet opletten voor eventuele invallen. Veiligheid mag niet worden beschouwd als een staatsgeheim en de houders van die geheimen kunnen niet optreden als leden van een clandestiene loge.

Dingen geheim houden maakt dingen niet veiliger. Documenten lezen over het inbreken in een systeem maakt je niet tot een crimineel, net zoals je je kunt voorstellen hoe een inbreker je tuinhek kan schalen en het garagedak kan oversteken, maakt je tot een dief.

Witte hoeden zijn essentieel

Je moet beter voorbereid zijn dan de crackers. En om beter voorbereid te zijn, moet je weten hoe ze waarschijnlijk zullen aanvallen door zowel te leren over hun technieken als door penetratie ze te testen met je eigen hardware. Je moet een witte hoed dragen.

Als u op zoek bent naar bewijs dat deze aanpak werkt, is er een duidelijk voorbeeld: open source software. Nog niet zo lang geleden werden besturingssystemen en de software die erop draaide steeds geheimzinniger en eigendomsrechten. Velen van ons stapten in Linux omdat we bijvoorbeeld niet wilden betalen voor een eenvoudige ontwikkelomgeving op Windows, en Red Hat - de open source gigant die zojuist 1,11 miljard dollar aan inkomsten heeft aangekondigd - heeft zijn business in het vacuüm van gesloten ontwikkeling.

Het open source model heeft echter een andere houding aangenomen, niet omdat het goedkoper is (omdat het waarschijnlijk niet zo is), maar omdat je een beter product krijgt. Niet alleen functioneel beter, ook niet. Het is beter omdat je de herkomst weet of kunt ontdekken.

Net als open veiligheid heeft de controle van vele codeurs die code controleren en gebruiken, ervoor gezorgd dat open source innoveert en veilig is, van het immense netwerk van Google tot de nieuwe hardwareontwerpen van Facebook voor zijn open source-datacenter. Beveiliging gaat tenslotte over het vinden van fouten in uw systeem, en de beste manier om dat te doen is door zoveel mogelijk mensen te gebruiken.

Red Hat heeft een interne mailinglijst waar het bijna alle strategie-ideeën en planning deelt, op enkele uitzonderingen na waar het niet legaal een aankondiging kan doen. Natuurlijk zouden sommigen beweren dat dit hun concurrenten te veel informatie geeft - net als een veiligheidsgoeroe die pleit voor gesloten systemen en de beperking van onderzoek. Maar Red Hat lijdt niet aan deze strategie, het is ervan gedijen.

Het heeft onmiddellijk een pool van 4.000 werknemers tot zijn beschikking, die over deze nieuwe ideeën pawelen en hun voor- en nadelen bespreken. Het resultaat is dat betere ideeën naar voren komen in een omgeving die al klaar is voor hun ontkieming, zodat zelfs als de concurrenten van Red Hat er een paar hebben genomen, ze niet in staat zouden zijn om zo goede resultaten te produceren..

Dit is wat Red Hat altijd heeft gedaan met zijn software, met zijn strategie en met zijn veiligheid, en het is het kenmerk van een systeem waarvan kan worden bewezen dat het werkt. Hetzelfde doen in het koude en donkere, in de hoop dat niemand het zal opmerken, wacht op problemen. En zoals met de meeste dingen, is het veel beter om open te zijn voor de taak, wetende dat je niets te vrezen hebt.