[openstandaarden] VLACO vs openstandaarden.be
Mattias Campe
mattias.campe at rug.ac.be
Sat Aug 10 07:19:36 CEST 2002
Frans Gerbosch Consulting heeft geschreven:
[...]
> als obscurity geen beveiligings
> vorm is, snap ik niet waarom men de geldtransporten alle dagen andere
> routes laat volgen en op verschillende tijdstippen laat vertrekken....
Ik denk dat je specificatie en implementatie door elkaar vermengd. Is de
specificatie immers niet, "rij met het geld van punt A naar punt B". En
dan is het natuurlijk niet echt slim om daar als implementatie aan te
geven "ik ga iedere zondagochten om 8u30 met mijn Lada van punt A naar
punt B rijden met zo'n 10 miljoen euro op mijn achterbank".
[...]
> Neem twee even sterk dichtgetimmerde boxen, de ene
> gebaseerd op een open standaard systeem, de ander om een specifiek
> daarvoor ontwikkelde toepassing. Van de open standaard zet ik er 1000
> van
> op het internet, van de obscure zetten we er maar 1. We schrijven
> bovendien een wedstrijd uit dat diegene die het meest aantal
> toestellen
> hacken kan, een porche wint..... Welke zal men in jouw ogen het meest
> attackeren ? Die ene oscure en twee openstandaarden of zal men meteen
> met
> de openstandaarden beginnen ?
> Ik garandeer je dat die ene met moeite zal bekeken worden.....
[...]
Opnieuw denk ik dat hier implementatie en specificatie verward wordt.
Als ik, bv. als zijnde Europa (euhum ;)) een bedrijf de opdracht heeft
om een gestandaardiseerde pantserwagen te bouwen die in ieder Europees
land gebruikt kan worden, dan is het doel duidelijk: hij moet
onkraakbaar zijn. Maar wat houdt "gestandaardiseerd" hier in? Toch enkel
de manier om de deur te openen? Zo kan dat bedrijf de ene keer 1000km
dik piepschuim gebruiken en de andere keer een meter dik staal. Dus het
enige bekende voor de crimineel zou de manier zijn om de deur te openen.
Maar als je daar een gewone sleutel bijstopt, een netvliesherkenner,
een DNA-punctie (om maar iets te zeggen) én een stemherkenner, dan mag
dit nog een open specificatie zijn, het zal toch een tijdje duren om te
kraken...
Akkoord, die volledig obscure pantserwagen heeft geen open specificatie,
maar dat betekent niet dat hij daarom veiliger zou zijn. Stel bv. dat
ik, nog altijd Europa zijnde :D, een bedrijf de opdracht heeft om geen
standaard te maken, maar eerder iedere keer een aparte specificatie,
waar het moeilijk wordt op de specificatie te achterhalen die precies
gebruikt wordt (=obscurity). Ik geef dat bedrijf daarvoor x aantal
euro... Als je nu echter voor iedere pantserwagen een aparte
specificatie moet voorzien, dan gaan de kosten daarvan de hoogte ingaan,
waardoor de beveiliging zelf minder goed zal zijn... Immers, een kenmerk
van open standaarden is dat (als je er van meet af aan mee begint) het
zaken ferm goedkoper kan maken!
Voila, dit is mijn betoog, als advocaat van de engeltjes ;)
More information about the Openstandaarden
mailing list