Het "Juniper effect"

Inmiddels is bekend dat de eerste aanvallen op Juniper firewalls zijn ontdekt, waarbij misbruikt werd gemaakt van dit wachtwoord. Inmiddels heeft het Nationaal Cyber Security Centre (NCSC) van de overheid de kans dat deze backdoor wordt misbruikt verhoogt van middel naar hoog. Juniper heeft aangegeven niet te weten hoe deze backdoor is ontstaan, maar geeft wel aan dat deze waarschijnlijk sinds 2012 al bestaat.

M.b.t. de backdoor om VPN verbindingen af te luisteren, zou het volgende deskundigen van Bruce Schneier enMatthew Green gaan dat er zwakheden zitten in de random number generator (RNG). Hierdoor is het mogelijk te voorspellen hoe een bericht versleuteld wordt, waardoor je een versleuteld bericht zonder de sleutel kunt lezen. Volgens het artikel van Matthew Green is het mogelijk dat hackers op basis van deze kwetsbaarheid een backdoor hebben weten te creëren. Hoe hackers toegang tot de ScreenOS code hebben gekregen is nog onduidelijk. Wel wordt in het artikel uitgelegd dat Juniper, m.b.t. de RNG, geen gebruik heeft gemaakt van de door de NIST (National Institute of Standards and Technology) aanbevolen FIPS-140 standaard. Dit zou er op kunnen duiden dat Juniper een kwetsbaarheid heeft toegestaan (waarschijnlijk gedwongen werd), waardoor de Amerikaanse overheid alsnog een backdoor heeft tot Juniper firewalls. Deze "backdoor" is vervolgens door "andere" hackers (mis)gebruikt om een eigen backdoor te maken.

Sinds de Snowden-affaire leeft er altijd een soort onderbuik gevoel van mogelijke (opzettelijke) backdoors in security producten. Het bericht van Juniper zal wel eens de eerste bevestiging kunnen zijn van dat het meer dan een onderbuik gevoel is. De onthullingen van Edward Snowden hebben het debat tussen privacy versus veiligheid op de kaart gezet, wat ook het z.g. Snowden effect wordt genoemd. De onthulling van Juniper zullen hopelijk het debat verder versterken en wellicht spreken over een paar jaar over het Juniper effect.

De onvermijdelijke vraag die opduikt is: "op welke manier kunnen we security producten eigenlijk vertrouwen?"

Deze vraag is niet gemakkelijk te beantwoorden: dit hangt er vanaf in hoeverre je de intenties van security product leveranciers vertrouwd en hoe belangrijk je data en systemen voor je zijn. Zelf zie ik in ieder geval drie mogelijkheden:

  • Black box benadering: monitor al het verkeer van en naar je security gateways (zoals een firewall). Dus welke data wordt er vanuit de security gateways verstuurd, door wie, waar naar toe en wanneer.
  • White box benadering: vervang (proprietary) securtiy producten door OpenSource oplossingen, waardoor jezelf in staat bent de source code te inspecteren.
  • Gray box benadering: krijg beter inzicht in het reilen en zeilen van de producent van de securtiy oplossing en met name de wijze waarop hun kwaliteitsprocessen zijn geborgd. Hoe wordt hun software getest, gevalideerd en door wie en hoe vaak? Welke maatregelen hebben ze genomen om er voor te zorgen dat hun producten veilig zijn en blijven? Welke afspraken hebben ze gemaakt met overheden etc.

Al deze benaderingen hebben hun eigen uitdagingen m.b.t. haalbaarheid, kosten en vooral benodigde security kennis en competenties.

Inmiddels heeft Juniper een nood-patch gepubliceerd, die deze backdoors moeten "sluiten". De hamvraag hierbij is wie garandeert dat deze patch zelf weer geen backdoor is.......

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • SAFe een verkapte waterval? Echt niet!

    Erik Borgers blogt: "SAFe roept naar mijn ervaring regelmatig emotie op. Een terugkerend verwijt is dat het eigenlijk 'verkapte waterval' is."

    Lees verder
  • Het fysieke Kanban of Scrum bord

    Is er in een wereld met verregaande automatisering nog wel ruimte voor fysieke Kanban of Scrum borden? Dat is een vraag die ik mij regelmatig stel.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 2) - 'Solution intent’

    In dit tweede deel van mijn serie blogs over SAFe (Scaled Agile Framework) 4.0 bespreek ik een voor mij ondergeschoven kindje in agile: ‘Solution intent’.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 3) - Meer flexibiliteit met het 'Spanning palette'

    Brian Teunissen vertelt over het palet aan resources en items binnen SAFe die niet aan één team kunnen worden toegewezen.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 4) - Kanban op alle lagen

    De definitie van Kanban uit wikipedia luidt: Kanban (van het Japanse kan ‘visueel’ en ban ‘kaart of bord’) is een concept gebruikt in lean manufacturing en just-in-timeproductie.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 6) - Foundation layer

    SAFe 4.0 leunt op fundamenten zoals Lean and agile leaders en Communities of Practice, maar ook Core values en SAFe principles. Brian Teunissen licht deze toe.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 7) - Multiple portfolio’s

    In het 7e en laatste deel van de serie blogs over SAFe 4.0 gaat hij in op "Multiple portfolio’s". Een nauwelijks te vinden, maar significante aanvulling op het framework.

    Lees verder
  • Maak kennis met SAMM

    inspearit heeft samen met de Belastingdienst SAMM ontwikkeld.

    Lees verder
  • Eet je eigen hondenvoer!

    Eén van mijn principes luidt: Pas een agile werkwijze toe bij het implementeren van agile werkwijzen. "Ja, logisch toch?" zullen de meeste agilisten denken. Maar probeer dat maar eens vol te houden bij grootscheepse implementaties bij traditioneel aangestuurde organisaties. Toch loont het om de verandering zo snel mogelijk agile aan te pakken.

    Lees verder
  • De zwaluw die wél zomer maakt

    ‘Agile werken’ en ‘Scrummen’ worden steeds breder in de organisatie toegepast. Dat leidt tot doelgerichte zelforganisatie die berust op autonomie, meesterschap en zingeving.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 5) - Onderscheid ‘Business operation’ value stream en de ‘IT life cycle’

    In dit 5e deel van een serie blogs over SAFe 4.0 laat ik zien dat er nu beter onderscheid wordt gemaakt tussen de ‘Business operation’ value stream en de ‘IT life cycle’ value stream.

    Lees verder
  • Eerste antipatronen bij Scaling Agile

    Brian Teunissen vertelt over hoe in de praktijk de voordelen van SAFe worden ondermijnd door drie grote antipatronen.

    Lees verder
  • De Agile Architectuur Pizza

    Als agile architectuurcoach is er voor mij niets leukers om mensen met agile Frameworks te leren werken en daartoe soms diepgaande discussies te voeren over WIP limieten en WSJF-en.

    Lees verder
  • Hoe Agile en Security hand in hand gaan

    Beveiliging en agile ontwikkeling kunnen wél hand in hand gaan en vertrouwen geven dat producten naast functionaliteit ook veiligheid bieden

    Lees verder
  • Autorisaties binnen agile teams

    Michiel Broekhuijsen blogt over een oplossing voor dit veelgehoorde pijnpunt.

    Lees verder
  • Jongen, ben jij wel bang genoeg?

    Eric Nieuwland blogt: "Informatiebeveiligers zijn soms lastige zeurkousen. Uit angst voor incidenten zeggen ze al 'nee' voor ze begrijpen wat je wilt. Dat kan anders."

    Lees verder
  • De taaie kant van Scaling Agile

    Agile organisatiebreed implementeren is een hele kluif. Brian Teunissen raadt iedereen die van start gaat met het opschalen van Agile aan om zich vooral ook te verdiepen in verandermanagement.

    Lees verder
  • Scaling Agile, van trend naar gevestigde orde

    Blog van Brian Teunissen met zijn visie op de agile trend en de verschillende scaling frameworks

    Lees verder
  • ​Informatiebeveiliging versus Privacymanagement, wie wint de slag?

    In dit (gratis) event zullen de tegenstellingen tussen privacy - en informatiebeveiligingsmanagement onder een vergrootglas worden gelegd.

    Lees verder
  • 5 tips om je agile transformatie te laten mislukken

    In deze blog een vijftal concrete tips om de kans op een geslaagde agile transformatie flink te verkleinen of vertragen. Tip: stuur deze blog door naar je grootste concurrent! Of lees 'm zelf nog eens na voor alle zekerheid...

    Lees verder
  • Van Scrum team naar agile organisatie - vierde ontwikkelingsfase

    Ditmaal beschrijft Brian Teunissen de vierde ontwikkelfase om van Scrum team tot Agile organisatie te komen.

    Lees verder
  • Van Scrum team naar agile organisatie - vijfde ontwikkelingsfase

    Brian Teunissen blogt over de laatste van de vijf ontwikkelingsfasen om van Scrum team door te groeien naar een Agile organisatie.

    Lees verder
  • Pak die banaan!

    Blog van Brian Teunissen over het veel eenvoudiger budgetteren bij scaling agile.

    Lees verder
  • Melk produceren of poepscheppen

    Blog van Brian Teunissen over de productiviteit van Agile teams.

    Lees verder
  • Van Scrum team naar agile organisatie - eerste ontwikkelingsfase

    In een serie van 5 blogs gaat Brian Teunissen in op de ontwikkelingsfasen waarmee een (organisatie)structuur zich aan kan passen aan een agile werkwijze.

    Lees verder
  • Paradigmaverschuivingen bij Scaling Agile

    Brian Teunissen: In deze blog geef ik een overzicht van paradigma verschuivingen die een organisatie door moet bij het opschalen van agile werken

    Lees verder
  • Van Scrum team naar agile organisatie - derde ontwikkelingsfase

    Brian Teunissen vertelt over ontwikkelingsfase 3: fysieke product of domein afdelingen, al dan niet aangevuld met Operations.

    Lees verder
  • Van Scrum team naar agile organisatie - tweede ontwikkelingsfase

    Brian Teunissen beschrijft Agile ontwikkelingsfase 2: virtuele product teams over functie afdelingen heen.

    Lees verder
  • Is Agile werken voorspelbaar?

    Is Agile werken voorspelbaar? "Ja en nee", vindt Brian Teunissen.

    Lees verder
  • Luitenant Borgers

    Alhoewel je het uit de titel waarschijnlijk niet direct zult halen, deze blog gaat 'dus' over het schalen van Agile teams. De volhardend lezer beloon ik met concrete ideeën hoe mensen aan te zetten om een goed lopend team van teams te vormen.

    Lees verder
  • Ga goed voorbereid 2017 in!

    Ga goed voorbereid 2017 in! Je ontvangt nu nl. 17% korting op alle opleidingen die nog in 2016 gepland staan.

    Lees verder
  • Privacy

    Toen mijn grootmoeder mijn vader kwam inschrijven bij de burgerlijke stand, werd zijn achternaam voorgoed veranderd vanwege een defecte typemachine. De letter "Y" deed het niet meer, waarop de beste ambtenaar (behulpzaam als hij was) de letters "IJ" in plaats daarvan gebruikte (je hoort het verschil toch niet). Daarmee werd figuurlijk gezien een streep gezet door mijn familie stamboom.

    Lees verder
  • Het architectentheekransje

    Hier volgt een sprookje over een kennisgroep van architecten. Je kent ze wel, die clubjes die eens in de tijd bijeenkomen om gezamenlijke visies, strategieën en concrete doelen te definiëren en dan uit elkaar gaan om van alles te realiseren. Dit verhaal vertelt over hun Ups en Downs. Totdat ze samen nieuwe manieren van werken ontdekten. Herken je zaken? Doe er je voordeel mee!

    Lees verder
  • Vertrouwen: noodzakelijk bij informatiebeveiliging en cloud computing

    Informatiebeveiligers nemen op basis van risico's maatregelen het (bedrijfs)proces. Maar dat loopt spaak bij het uitbesteden naar de cloud. Hoe gaan we dit aanpakken?

    Lees verder
  • Security & DevOps: toekomstmuziek?

    Michiel Broekhuijsen wil je meenemen op een reis naar de nabije toekomst. We bezoeken een organisatie waarbij ontwikkeling, security en operations (z.g. DevSecOps) volledig zijn geïntegreerd...

    Lees verder
  • 10 eenvoudige verbetervoorstellen voor Agile architectenteams

    Ben je architect en doe je (in teamverband) voorbereidend werk voor één of meer Scrum ontwikkelteams? Hierbij 10 concrete tips die jou en je architectenteam verder helpen te verbeteren.

    Lees verder
  • De Agile Architect: de ultieme klimgeit?

    Agile werken lijkt voor de IT eerder regel dan uitzondering te worden. Maar bedreigen die "agile teams" het zo zorgvuldig door enterprise architecten bewaakte gedachtengoed niet? Hoe zorgen architecten ervoor dat de uiteindelijke architectuurdoelen anno 2013 geborgd blijven? In deze blog wil ik daar mijn inzichten met u over delen.

    Lees verder
  • TOGAF: radioactief materiaal voor organisaties?

    Ik geef al jaren les in TOGAF en dat kent een interessant aanvangspatroon. Op de eerste dag kom ik binnen met een hele grote doos met die vuistdikke TOGAF boeken.

    Lees verder
  • Rokjesdag voor architecten

    Waar gebeurd. Aan een door mij onlangs gegeven training voor architecten nam zowaar een vrouw deel. In mijn praktijk is dat behoorlijk zeldzaam! Gedurende de lunch dacht ik: daar wil ik wel iets meer van weten. We raakten aan de praat en ik vroeg naar haar rol.

    Lees verder
  • Round Table Scaling Agile zeer succesvol

    Op 5 oktober jl. vond op het landgoed ‘Zonheuvel’ een Round Table plaats met als thema: ‘Scaling Agile: Boardroom besluit of IT feestje?” O.l.v. Marco de Jong en Brian Teunissen werd deze vraag bediscussieerd door 16 genodigden van uiteenlopende organisaties.

    Lees verder
  • Scrum voor informatiemanagement: 5 hindernissen om te overkomen

    Ik coach informatiemanagement om Scrum te gebruiken. De verschillende rollen hebben elkaar veel te bieden en samen kunnen ze fantastische producten maken. De praktijk is echter weerbarstig. Wat zijn typische belemmeringen en wat doe je er tegen?

    Lees verder
  • Agile transformatie: het slechten van de grenzen

    "De agile en digital coaches en consultants van inspearit helpen de huidige grenzen aan agility te slechten en deze tot enablers te maken. Wij maken bij onze klanten aan den lijve mee wat het betekent om een organisatie te veranderen", blogt Sandra Schreppers.

    Lees verder
  • ​Agile Assessments: heaven or hell?

    Erik Borgers vertelt in zijn blog hoe een agile assessment best ingewikkeld kan zijn als je écht iets aan de resultaten wilt hebben.

    Lees verder
  • Op weg naar een High Performance Overheid

    Op initiatief van projectmanagers van UWV, de Belastingdienst, DUO en I-Interim Rijk werd op 10 mei jl. het seminar ‘op weg naar een High Performance Overheid’ gehouden voor medewerkers van de overheid.


    Lees verder
  • Faalangst-cultuur

    Gaat Agile tot een teleurstelling leiden als het organisaties niet lukt om hun faalangst-cultuur om te buigen?

    Lees verder
  • Werken Agile teams ook internationaal?

    Erik Borgers Blogt: Het toepassen van agile is vaak een stuk lastiger in grote internationale organisaties.Voor mij gaat het echt te ver als de globalisering dwars door teams gaat lopen.

    Lees verder
  • LeSS principes leggen de basis voor het Scaled Agile Model bij de Nationale Politie

    inspearit heeft samen met de Nationale Politie een agile samenwerkingsmodel ontwikkeld gericht op snelheid en wendbaarheid in een continue verbetercyclus.

    Lees verder
  • Aankondiging nieuwe cursussen Privacy en persoonsgegevens

    Om de ‘nieuwe’ Europese verordening gegevensbescherming (AVG) te kunnen vertalen naar de dagelijkse praktijk bieden we binnenkort twee nieuwe cursussen.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 1) - 'Value Stream'

    In dit 1e deel van een serie blogs over SAFe (Scaled Agile Framework) 4.0 bespreekt Brian de meest significante vernieuwing van deze versie; de 'Value Stream' laag.

    Lees verder
  • De scholingsvouchers van het UWV zijn helaas op, maar...

    De scholingsvouchers van het UWV zijn helaas op! Maar ben je werkzoekend en wil je je carrière vervolgen in de IT en heb je net misgegrepen? Wij helpen je toch graag verder.

    Lees verder
  • In the cloud we trust?

    Het nieuws dat de zgn. Safe Harbor Agreement door het Europese hof ongeldig is verklaard heeft voor een ware schokgolf gezorgd in de privacy- en informatiebeveiligingswereld.

    Lees verder
  • Round Table “De waarde van Agile: wie bepaalt dat?”

    Op donderdag 29 juni vond in Kasteel Sterkenburg een geslaagde Round Table discussie plaats rondom het thema “De waarde van Agile: wie bepaalt dat?”.

    Lees verder
  • Kerstwensboom

    December is dé maand om stil te staan bij het afgelopen jaar en vooruit te blikken op de toekomst. Maar ook om iets bijzonders te doen voor een ander. Wie in jouw omgeving wil jij verrassen met een opleiding naar keuze bij cibit academy?

    Lees verder
  • Digital Transformation en Business Analyse

    inspearit sponsorde het IIBA jaarcongres 2017. Het werd afgelopen dinsdag 14 november een goed bezochte en interessante bijeenkomst. Het thema: ‘Digital Transformation en Business Analyse’. Het vraagstuk werd door de sprekers uit verschillende invalshoeken belicht. 

    Lees verder
  • (ISC)² vernieuwt CISSP examen

    Belangrijk nieuws voor iedereen die aan het leren is voor het (ISC)² CISSP examen. Lees verder.

    Lees verder
  • cibit academy steunt stichting Edukans

    Het afgelopen jaar hebben we veel porisitieve ervaringen binnen gekregen en gemiddeld scoren we een 8,6! Voor elke ervaring doneren wij net als springest €1 euro aan stichting Edukans!

    Lees verder
  • Paasactie

    Paasactie!  We hebben goed nieuws voor iedereen die zich wil versterken met een opleiding of cursus van cibit academy. 

    .

    Lees verder
  • MOOC - Agile4All (For free)

    In the coming weeks we will offer several MOOC modules around Agile4All. These modules are created in the innovative learning platform "Curatr", which is based on modern learning principles, such as content creation, gamification, and social learning.

    Lees verder