De begin dit jaar uit de gevangenis ontslagen hacker Kevin Mitnick sprak software-fabrikanten dat zij weinig aandacht besteden aan beveiliging.
Tijdens het Software Development East 2000 congres dinsdag was Mitnick als gastspreker aanwezig, zij het virtueel. Via een satellietverbinding sprak hij de congresgangers toe, omdat hij door zijn veroordeling de staat California niet mag verlaten.
Na eerst zijn excuses te hebben uitgesproken voor zijn illegale activiteiten in het verleden – hij stal software van Digital Equipment en kraakte de beveiliging van telecombedrijf MCI – viel Mitnick de software-industrie aan op de slechte beveiliging van producten. Omdat software te snel op de markt gebracht wordt is er geen tijd meer voor het testen op kwetsbaarheden. Veel mensen denken niet aan beveiliging totdat iemand het produkt kraakt, dan praat iedereen erover, volgens Mitnick.
Hij waarschuwde zijn gehoor voor de geavanceerde technologieën, waarover hedendaagse hackers de beschikking hebben. Hij noemde hulpprogramma’s voor het kraken van versleutelde broncode of codes voor breedband Internet toegang. De nood voor een grotere fysieke beveiliging en het bewust maken van werknemers met betrekking tot adequate beveiliging is overduidelijk aanwezig.
Ook eindgebruikers werken mee aan de kwetsbaarheden van software, zo stelt het panel van experts. Programmeurs moeten eigenschappen in hun software bouwen om de fouten van eindgebruikers te verminderen zo stelt Dorothy Denning, professor Informatica aan de Georgetown University.
Ook al word een `hack of bug’ gemaakt, veel van de eindgebruikers installeren nooit de programma-aanpassing die hiervoor beschikbaar wordt gesteld zodat veel systemen onnodige kwetsbaarheden vertonen. Veel organisaties ontwijken nog steeds het beveiligingsvraagstuk of nemen het niet serieus.
Deze situatie zal zo blijven totdat minstens een organisatie te maken krijgt met een groot financieel verlies door een virus of een hacking. Volgens Keith Rhodes, hoofd technologie bij het US General Accounting office wordt de schade van recente virussen totaal onderschat. "De impact van het Melissa of het Iloveyou-virus, waardoor organisatie offline kwamen, wordt gebagatelliseerd door het bedrijfsleven. Het zou geen significante consequenties hebben gehad."
Uit een Computer Crime en Security rapport van afgelopen maart blijkt dat 70 procent van vooraanstaande Amerikaans bedrijven wel eens te maken hebben gehad met inbraak in hun systemen. Dit rapport wordt jaarlijks opgesteld door het Computer Security Institute en de Federal Bureau of Investigation. Richard Power, hoofdredacteur van CCS, claimt dat dit 90 procent zou zijn als virussen en laptop diefstal hierin meegeteld zouden worden.
