Stelling: Elke Software kan gehackt / gekraakt worden

[Regor]

Gezien een Software programma "mensenwerk" is, zijn deze mensen op de hoogte van het allerlaagste (of als U het liever heeft, het allerhoogste) bron - level.
Zij moeten dus logisch gezien hun eigen SW kunnen hacken / kraken.
Als zij informatie lekken ...... kunnen andere het ook.

Verder zijn "mensen" zo deskundig terzake en intelligent dat ze logischerwijze ook de SW van een ander kunnen "kraken"

Bijgevolg moet in essentie elke SW te kraken zijn ...... met alle mogelijke nadelige gevolgen van dien.

1. Is het uberhaut mogelijk om een SW te maken die niet kan gekraakt worden ....... die de stelling zou ontkrachten ?
2. Kan AI een / elke SW kraken ?
3. Wat is trouwens het onderscheid tussen een SW kraken of een SW hacken ?
(Zou je zelf beter eerst uitzoeken Regor voor je de vraag stelt, .......sorry, ben maar een SW nerd !) 8-)

[WillemB]

Tijdens mijn werkzame leven in de ICT beveiliging, hanteerden wij deze stelling:

Je hebt twee soorten bedrijven, bedrijven die gehacked zijn, en bedrijven die nog niet weten dat ze gehacked zijn.

Dat was het beste uitgangspunt om je ICT beveiliging scherp te houden, op de firewalls zagen we ontelbare pogingen per dag
om in de systemen in te breken.

Trouwens ook prive, tijdje de firewall in de gaten gehouden, zelfde beeld.

Je moet wel het geheel overzien, niet alleen de software, ook alles wat in de keten zit moet je analyseren
om te bepalen hoe men binnen kan komen, de software alleen is niet het enigste probleem.
Het is veel ingewikkelder dan je denkt, het beste is er van uitgaan dat je gehacked bent, en analyseren
wat de consequenties kunnen zijn, en welk tegen maatregelen mogelijk zijn, het is een continu proces.

[Regor]

@WillemB,

Ok, maar ik noem het niet "bedrijven" die gehackt zijn ....... maar meer algemeen "softwares" die gehackt zijn.

Nu ga ik graag een stap verder.
Stelling 2: Men kan geen beveiligingen / firewalls maken die niet gekraakt kunnen worden ! 8-)

[HansH]

Ik denk dat het ervan af hangt hoe het hele computersysteem is opgezet. Bij Windows en internet is dat blijkbaar zodanig dat je er op allerlei manieren bij kunt komen. Dat komt denk ik omdat men de operating systemen en communicatie methodes ontwerpt op basis van eerste doen en dan pas denken. En daarna oppoetsen en fenomenen bestrijden (pleisters plakken)

Natuurlijk kun je software maken die niet te kraken is, maar niet onder Windows denk ik en via internet zoals het ontworpen is.

[Regor]

@HansH,

Neen Hans, helaas niet . onder geen enkel operating systeem !

[wnvl1]

Windows bevat tientallen miljoenen regels code en legt sterk de nadruk op achterwaartse compatibiliteit. Daardoor is het praktisch onmogelijk om er formele garanties voor te leveren. Dat valt Microsoft moeilijk te verwijten; de schaal, complexiteit en de verwachtingen van de klanten maken dit vrijwel onvermijdelijk. Bij een kleine microkernel is zo'n formeel bewijs daarentegen wel haalbaar.

[Regor]

@wnvl1,

U schreef:
" Bij een kleine microkernel is zo'n formeel bewijs daarentegen wel haalbaar."

Wat is er daarentegen "wel" haalbaar ?

[HansH]

@HansH,

Neen Hans, helaas niet . onder geen enkel operating systeem !

de software in mijn horloge of fietscomputer is niet te kraken of te veranderen. het operating systeem daarvan is immers niet toegankelijk van buiten af.

[wnvl1]

@wnvl1,

U schreef:
" Bij een kleine microkernel is zo'n formeel bewijs daarentegen wel haalbaar."

Wat is er daarentegen "wel" haalbaar ?

Met een formeel bewijs bedoel ik een wiskundig bewijs dat een programma aan een exact gespecificeerde eigenschap voldoet. Het is dus geen "we hebben veel getest", maar een bewijs zoals in de wiskunde: als de aannames kloppen, dan volgt de eigenschap onvermijdelijk.

Bij een microkernel kan men bijvoorbeeld bewijzen dat:

• Geheugenisolatie: een gebruikersproces kan nooit het geheugen van een ander proces lezen of overschrijven.
• Toegangscontrole: alleen processen met de juiste rechten kunnen een bepaalde systeemaanroep uitvoeren.
• Afwezigheid van bepaalde programmeerfouten: geen buffer-overflows, null-pointer-dereferences, gebruik van niet-geïnitialiseerd geheugen, enzovoort (voor de geverifieerde code).
• Correctheid van de kernel: elke systeemaanroep doet precies wat de formele specificatie voorschrijft.
• Informatiestromen: geheime informatie kan niet via de kernel naar een ongeautoriseerd proces lekken (non-interference).

[wnvl1]

@HansH,

Neen Hans, helaas niet . onder geen enkel operating systeem !

de software in mijn horloge of fietscomputer is niet te kraken of te veranderen. het operating systeem daarvan is immers niet toegankelijk van buiten af.

Dan kan het mogelijk nog als je fysieke toegang hebt.

[ukster]

Nu ga ik graag een stap verder.
Stelling 2: Men kan geen beveiligingen / firewalls maken die niet gekraakt kunnen worden ! 8-)

In de informatica wordt het streven naar "100 procent zekerheid" of "absolute veiligheid" algemeen beschouwd als onhaalbaar. Enkele kernpunten uit de literatuur die dit onderbouwen:

* **Fundamentele onmogelijkheid:** Er is geen 100 procent garantie dat een computersysteem volledig te vertrouwen is of vrij is van kwetsbaarheden (Arbaugh, 2004). Ondanks decennia aan onderzoek naar cybersecurity zijn er geen systemen die als "onkraakbaar" kunnen worden bestempeld (Chiueh, 2003).
* **Beperkingen van firewalls:** Firewalls zijn essentieel voor netwerkbeveiliging, maar ze zijn niet onkraakbaar en kunnen fouten bevatten (Chary, 2023). Aanvallers vinden voortdurend nieuwe manieren om firewalls en netwerkbeveiliging te omzeilen (Chary, 2023). Bovendien kunnen firewalls een vals gevoel van veiligheid geven, omdat ze vaak kwetsbaarheden hebben die door hackers worden uitgebuit (Shaikh, 2010).
* **Menselijke en operationele factoren:** Veel beveiligingslekken ontstaan niet alleen door technische fouten, maar ook door menselijke factoren, zoals sociale engineering (het misleiden van gebruikers om wachtwoorden of informatie prijs te geven) (Chary, 2023), (Chiueh, 2003). Daarnaast kan de complexiteit van het correct configureren en beheren van beveiligingssystemen de capaciteiten van gebruikers overstijgen, wat leidt tot nieuwe kwetsbaarheden (AlFayyadh, 2010).
* **Een voortdurende wapenwedloop:** Cybersecurity is een dynamisch veld. Zodra een beveiligingsmethode wordt verbeterd, ontwikkelen aanvallers nieuwe technieken om deze te omzeilen (Cheswick, 2003), (Singleton, 2002).

Vanwege deze realiteit verschuift de focus in de cybersecurity vaak van het streven naar absolute ondoordringbaarheid naar **risicobeheer** en **intrusiereactie** (het verminderen van de schade en het snel kunnen herstellen van systemen na een inbreuk) (Chiueh, 2003), (Singleton, 2002). Een gelaagde verdedigingsstrategie, waarbij firewalls worden ondersteund door andere beveiligingstechnologieën en best practices, is noodzakelijk voor een betere bescherming, maar zelfs dan blijft een restrisico bestaan (Putra, 2025).

* (Arbaugh, 2004) Arbaugh, W (2004). A Patch in Nine Saves Time? Computer, 37, 82-83. <https://doi.org/10.1109/MC.2004.1>
* (Chiueh, 2003) Chiueh, T et al. (2003). How to Repair Compromised Information Systems Quickly ? <https://www.semanticscholar.org/paper/6 ... 305549fb43>
* (Chary, 2023) Chary, G et al. (2023). Evaluating the Effectiveness of Tree-based Machine Learning Classifiers for Cybersecurity Threat Detection. 2023 IEEE International Conference on Contemporary Computing and Communications (InC4), 1, 1-6. <https://doi.org/10.1109/InC457730.2023.10262889>
* (Shaikh, 2010) Shaikh, Z, Ahmed, F (2010). Disarming firewall. 2010 International Conference on Information and Emerging Technologies, 1-6. <https://doi.org/10.1109/iciet.2010.5625739>
* (AlFayyadh, 2010) AlFayyadh, B et al. (2010). Vulnerabilities in personal firewalls caused by poor security usability. 2010 IEEE International Conference on Information Theory and Information Security, 682-688. <https://doi.org/10.1109/ICITIS.2010.5689490>
* (Cheswick, 2003) Cheswick, W et al. (2003). Firewalls and Internet Security: Repelling the Wily Hacker. <https://www.semanticscholar.org/paper/3 ... 352c9a2ab7>
* (Singleton, 2002) Singleton, T (2002). Managing the Most Critical Internet Security Vulnerabilities: One Effective Approach. EDPACS, 30, 1 - 11. <https://doi.org/10.1201/1079/43285.30.2 ... 01/37807.1>
* (Putra, 2025) Putra, F P E et al. (2025). Firewall Implementation as a Computer Network Security Strategy for Data Protection. Brilliance: Research of Artificial Intelligence. <https://doi.org/10.47709/brilliance.v5i1.6162>

[wnvl1]

De beschrijving van ukster is in hoofdzaak van toepassing op grote, complexe en algemeen inzetbare computersystemen, zoals besturingssystemen, bedrijfsnetwerken en internetdiensten. Voor kleinere en sterk afgebakende systemen ligt de situatie genuanceerder. Wanneer een systeem slechts een beperkte taak uitvoert, weinig programmacode bevat en geen onnodige functionaliteit of externe toegang heeft, wordt het veel eenvoudiger om het volledige gedrag van dat systeem te analyseren. In zulke gevallen kunnen voor bepaalde eigenschappen zelfs formele, wiskundige bewijzen worden geleverd dat het systeem zich altijd volgens de specificatie gedraagt. Daar wordt veel onderzoek naar gedaan.

Dat betekent echter niet dat kleine systemen automatisch honderd procent veilig zijn. Een formeel bewijs bewijst alleen dat het systeem voldoet aan de eigenschappen die in de specificatie zijn vastgelegd. Wanneer de specificatie zelf onvolledig of onjuist is, kan het systeem nog steeds ongewenst gedrag vertonen, ondanks het formele bewijs. Bovendien kunnen fouten in de compiler, de hardware of de processor de garanties van de software ondermijnen. Ook fysieke aanvallen, zoals manipulatie van de hardware of side-channel-aanvallen, vallen vaak buiten het model waarop het bewijs is gebaseerd.

[Regor]

@Ukster,

Dank U,

Mijn intuitie voor het formuleren van de twee stellingen wordt bevestigd.
Ben tevreden dat mijn intuitie en een beetje Biologische Inteligentie mijn gebrek aan parate kennis compenseert ! 8-)

Al bij al gaat de mensheid een gevaarlijk pad op door alles te willen informatiseren!
Vroeger vergiftigden de Romeinen het drinkwater van de vijand ....... nu kan "de vijand" de complete maatschappij ontregelen en menigvuldige systemen onbruikbaar maken.

[ukster]

De essentie van oorlogsvoering en sabotage is in de kern niet veranderd, alleen het slagveld is verplaatst van fysieke bronnen naar digitale netwerken. Wat de Romeinen deden met fysiek gif, kan vandaag de dag inderdaad digitaal worden nagebootst door vitale infrastructuur plat te leggen of te manipuleren.

Vroeger had je fysieke toegang nodig om schade aan te richten; tegenwoordig kan dat vanaf de andere kant van de wereld. Dit is een reëel scenario waar inlichtingendiensten en cybersecurity experts dagelijks mee bezig zijn:

Cyberaanvallen op nutsvoorzieningen: Waterzuiveringsinstallaties, elektriciteitsnetwerken en ziekenhuizen draaien op zogenaamde ICS/SCADA-systemen (industriële besturingssystemen). Als hackers binnendringen, kunnen ze in theorie chemische doseringen in het drinkwater aanpassen of de stroom uitschakelen.

In 2021 was er een bekend incident in Oldsmar, Florida, waarbij een hacker probeerde de hoeveelheid natriumhydroxide (loog) in het drinkwater naar een gevaarlijk niveau te verhogen. Gelukkig merkte een oplettende operator de cursor live op zijn scherm en greep meteen in.

Al in 2010 lieten de VS en Israël met de Stuxnet-worm zien dat software fysieke centrifuges in een Iraanse nucleaire installatie letterlijk kapot kon laten draaien.

[wnvl1]

Al in 2010 lieten de VS en Israël met de Stuxnet-worm zien dat software fysieke centrifuges in een Iraanse nucleaire installatie letterlijk kapot kon laten draaien.

Ja, dat vind ik een geweldig verhaal. Daar zijn goede boeken over geschreven. Je vindt er ook veel youtube films over.