Wat is beter: geen beveiliging of slechte beveiliging?
De afgelopen tijd zijn er een aantal kwetsbaarheden in VPN systemen aan het licht gekomen. VPN (voor Virtual Private Network) zorgt voor een indirecte versleutelde toegang tot het web en is dus een veiligheids-tool.
Dat brengt me op de vraag: wat is minder onveilig: een gecompromitteerd veiligheids-tool gebruiken of geen veiligheids-tool? Slechte beveiliging of geen beveiliging? En het antwoord is natuurlijk: het hangt er vanaf.
In dit geval is er een exploit beschikbaar die de kwetsbaarheid kan uitbuiten. In dit geval wordt er actief naar de kwetsbaarheid gezocht. In dit geval zouden bedrijven die de betreffende VPN service gebruiken daardoor wel eens minder veilig kunnen zijn dan als ze dat niet hadden gedaan.
Maar er wordt constant van alles gescand op het internet, dus ik kan me voorstellen dat als deze bedrijven de VPN service niet hadden gebruikt ze wel eens veel eerder gecompromitteerd hadden kunnen worden.
Een ander voorbeeld: 2-factor authenticatie is ‘gebroken’. De SMS-code die als tweede kanaal wordt gebruikt om te controleren of jij jij bent kan op listige wijze worden afgevangen. In dit geval is het antwoord op de vraag: wat is minder onveilig echter simpel. Alleen een wachtwoord is veel minder veilig dan een wachtwoord plus SMS-code. In het eerste geval hoeft de aanvaller alleen maar het wachtwoord te weten te komen, in het tweede geval dat én de SMS code.
Dus als er binnenkort weer in het nieuws komt dat een of andere beveiligingsmethode ‘kapot’ is, raak dan vooral niet in paniek. Stel je zelf daarvoor in de plaats twee simpele vragen:
- Heb ik dit product?
- Heb ik de update al gedraaid?
Want de gecompromitteerde VPN tools zijn namelijk allang gefixt.
No Comments :