DDoS-aanvallen en andere ongelukken
Soms zijn het ook gewoon foutjes. Sorry.
De DDoS-aanvallen op banken en overheidsdiensten van afgelopen maand kwamen van een balorige achttienjarige jongen die met een goed verhaal op school wilde komen. Maar er zijn nog andere redenen en oorzaken van DDoSsen. En daar zitten ook ongelukjes bij.
DDoS-aanvallen en andere ongelukken
Soms zijn het ook gewoon foutjes. Sorry.
Geweldige uitleg, goed te begrijpen voor mening Non IT executive en geinteresseerde. Het voorbeeld van de achttien jarige en zijn 'grappige'/'stoere' Ddos aanval, en de daaropvolgende Domme reacties, laat zien hoe onnadenkend nieuwsmedia en zogenaamde 'experts' met dit soort zaken om gaat. Er bestan namelijk hele eenvoudige universele principes die men a: niet kent en b: gewoon dus veronachtzaamd, waarmee zij zichzelf Dom te kakken zet.
Never asume, always verify.... ('Neem niets voetstoots aan, controleer...')
KPN en de 'hacker'. Weet u het nog? Dat veroorzaakte een storm op de sociale media, waarna de techneuten van KPN het nodig vonden in een spastische reflex, meer dan twee miljoen email boxen stil te leggen van hun klanten. Iets wat zij nog nooit eerder hebben gedaan noch getest. 's Avonds kwam een stuntelige mevrouw van de kPN knullig uitleggen dat de klanten van de KPN toch maar vooral hun wachtwoorden goed moesten bewaren en regelmatig vernieuwen. Los van het feit dat het toch de KPN was die was gehackt?
De dag daarna kwam de 'aap' uit de mouw. De hacker had een webserver van een klant van de KPN gehackt en daar wat data vanaf gehaald, namelijk namen en wachtwoorden van de klanten van ene 'babydump', een on line winkel. Dat gegeven, dat bleek later, was zeer eenvoudig te constateren want de hacker hade die lijst ergens op internet gepubliceerd en had daar, in het donker voor de tv, trots melding van gemaakt. Ergo, had men deze eenvoudige regel gekend, er zich aan gehouden, had men binnen een uur dit geweten en niet zo massaal ondoordacht gereageerd.
Het heeft toen weken geduurd voor iedereen weer gewoon over de emailboxen kon beschikken en de naam en reputatieschade van en voor de KPN? Onmeetbaar groot. Die fout word nog maar weer eens gewoon herhaald.
Willem Vermeend, oud politicus, geen enkele achtergrond in digitaal aiutomatiseren/IT, geeft, samen met een 'zelfverklaarde' 'etische hackster'/'cyber security expert', een boek uit over de basics van cyber security. Zijzelf liet zich kittig in het zwart op de cover zetten...
Het aanzienlijkste deel van het boek? Gewoon kopieerwerk maar.... als je niet doet aan bornvermelding, naam en achtergrond van 'geleende artikelen' vermeld, heet dat Plagiaat! Regel 1? Never assume, always verify???? Neuh, niet nodig joh. Het boek lag vers van de pers in de etalage en de eerste berichten hiervan werden eenvoudig wereldkundig. Dahaaggg meneer Vermeend, dahaag mevrouw Rian R .... beiden kunnen rekenen op de on line media Hoon, Pek & Veren. Dikke naam en reputatieschade waar je niet vanaf komt voorlopig.
Nu dus ook weer met al die zogenaamde security experts en overheids betweters die meteen riepen dat bij de recenste Ddos attack op ministerie en banken dat het de Russen waren als zg antwoord op de onthullingen hoe goed Nederland toch bezig is bij het monitoren en hacken van de Russische hackers 'Cozy Bear'. Zonder nadenken werd er weer van alles geroepen, niets gecheckt, en wat bleek? Een opgeschoten 18 jarige student hunkerend naar persoonlijke en ludieke erkenning.
En al die blatende media en 'selfproclaimde experts'? Die doen er snel het zwijgen toe en ernstiger, niemand van hen die zig geroepen voelen gewoon publiekelijk naar voren te stappen met een mea culpa, ik/wij zaten helemaal verkeerd. Dom Dom STOM! Wat er is een andere zeer Titan Rule die echte experts altijd in acht nemen en naleven.....
Laat nooit van jezelf zien/horen wat je capaciteiten zijn. Dat is een oude antiterreur regel die gewoon opgaat in de wereld van de cyber crime. Er zijn namelijk altijd entiteiten die jouw uitspaken en voorstellingen van zaken, zullen challengen of van die vrijgegeven, vooral uit 'eigengeilheid' en 'profileringsdrang, informatie, gebruik gaan maken.
Want ook dat is namelijk een heel bekend universeel principe. Het lastige voor de business is nu .... waar haal je nu een echte cyber crime expeert vandaan? Want de besten hebben niets op met de drang tot profileren maar gebruiken andere gekende wegen kennis en ervaringen te delen. En die ervaringen zijn niet technisch, maar beginnen bij kennis delen van wat terreur en antiterreur is en welke mechanismen hier aan het werk zijn. Van daaruit verder ....
Bijzonder veel succes en wijsheid voor een ieder in en met de strijd tegen cyber crime....
René C, IT Chain & Crisis consultant
Dus toch security by obscurity ;)
In elk geval fijn dat jij jouw punt zo kort en bondig formuleert.
Maar dan:
Neem voor nu maar aan dat jij niet Rene C. bent (immers je profileert jezelf niet). Wel jammer dat je Rene C. zo in de spotlight zet, terwijl deze persoon zelf voor anonimiteit kiest.
Reageer
Preview