image

Beveiliging is meer dan het vermijden van Microsoft

maandag 7 mei 2007, 17:34 door Redactie, 18 reacties

Menig IT'er is ervan overtuigd dat als ze geen Microsoft software hoeven te gebruiken het netwek een stuk veiliger zou zijn. Er zijn voldoende artikelen en zelfs boeken over een utopische Microsoft-vrije wereld. Volgens security consultant Ben Rothke is het de hoogste tijd dat deze mensen wakker worden geschud en zich realiseren dat de aanwezigheid van de softwaregigant geen invloed op de netwerkveiligheid heeft.

Ongeacht of je nu Windows, Mac OS, Linux of een ander besturingssysteem gebruikt, zodra je het aan het internet hangt krijg je met beveiligingsproblemen te maken. Zelfs het best beveiligde besturingssysteem kan door acties van de gebruiker gehackt of geinfecteerd worden. Neem als voorbeeld het commerciële vliegverkeer. De hardware is zo veilig als het zijn kan, en piloten worden goed getraind. Toch komen ongelukken nog steeds voor, en zijn meestal het gevolg van een fout van de piloot.

Om het netwerk veiliger te maken moeten gebruikers daarom op cursus, om zo het bewustzijn te verhogen en meer kennis over beveiliging op te doen. De training en gebruikers moeten echter continu worden bijgewerkt. Een moeilijke taak en het is dan ook veel makkelijker om Microsoft de schuld te geven. Het geklaag tegen Microsoft heeft uiteindelijk wel geholpen, want dankzij Trustworthy Computing is de beveiliging uiteindelijk verbeterd. De hoogste tijd dat iets soortgelijks ook binnen organisaties plaatsvindt, aldus Rothke.

Reacties (18)
07-05-2007, 17:51 door [Account Verwijderd]
[Verwijderd]
07-05-2007, 17:57 door SirDice
Neem als voorbeeld het commerciële vliegverkeer. De
hardware is zo veilig als het zijn kan, en piloten worden
goed getraind. Toch komen ongelukken nog steeds voor, en
zijn meestal het gevolg van een fout van de piloot.
Of de luchtverkeersleider..

Om het netwerk veiliger te maken moeten gebruikers
daarom op cursus, om zo het bewustzijn te verhogen en meer
kennis over beveiliging op te doen. De training en
gebruikers moeten echter continu worden bijgewerkt.
Vergeet ook de beheerders niet...
07-05-2007, 18:17 door Anoniem
... de hoogste tijd dat deze mensen wakker worden
geschud en zich realiseren dat de aanwezigheid van de
softwaregigant geen invloed op de netwerkveiligheid heeft.

Ach ja, ... FUD.

Als iedereen niet MS software zou draaien, wordt de security
beter en heeft deze meneer geen consultancy baan meer.
07-05-2007, 20:01 door V.
Door Iceyoung
Dat MS produkten vanaf grond af aan niet veilig (genoeg) zijn is natuurlijk
wel een kwalijke zaak maar wie weet hoeveel (onontdekte) lekken er nog
in andere systemen zitten.

Een kleine nuance is hier op zijn plaats. Producten die op basis van de
SDL zijn ontwikkeld en worden onderhouden zijn zeker in basis wel veilig.
Feit blijft echter omdat het nog steeds de meest gebruikte software is,
deze software ook het meest interessant is voor kwaadwillende.

SDL:
http://msdn2.microsoft.com/en-us/library/ms995349.aspx
07-05-2007, 20:09 door Anoniem
Een woord: Beheer.
07-05-2007, 22:18 door extranion
niet ontdekte lekken zijn lekken die veilig zijn totdat ze
worden ontdekt.

En voor linux zal er sneller een patch of iets dergelijks
worden uitgebracht dan bij een microsoft systeem.
07-05-2007, 22:31 door Anoniem
Ik ben het er mee eens. Als software meer gebruikt wordt,
komen er vanzelf meer veiligheidslekken aan het licht. Dus
stel dat Microsoft's Vista zo slecht blijkt te verkopen dat
het bedrijf failliet gaat, dan hebben daarna de keuze tussen
Apple, BSD's, linuxen en andere OS-sen. De populairste
daarvan zal vermoedelijk ook de minst veilige zijn.
08-05-2007, 07:15 door [Account Verwijderd]
[Verwijderd]
08-05-2007, 09:16 door Anoniem
Grapsig... Toevallig gisterenavond nog vijf vliegtuigcrashes bekeken... En
raadt eens.. 4 maal was het vliegtuig (en ook nog eens alle vier Boeing, de
microsoft onder de vliegtuigen), niet de piloot, en bij 1 was de piloot
medeschuldig maar alleen omdat het hem zo geleerd was door zijn
vliegtuigmaatschappij, terwijl de fabrikant het juist ten zeerste afraade zo'n
manouvre te maken.

Rothke heeft het nog meer mis trouwens. Hij beweert dat het niet veiligER
wordt bij weghalen van Microsoft producten omdat 'alles' aan internet
onderhevig is aan security. Maar dat is GEEN argument, er is geen
onderbouwing met feiten dat andere producten net zo vaak
gehacked/gep0wned wordt als Microsoft producten, of dat er net zoveel
lekken zijn in deze software. Met andere woorden, hij roept maar wat, maar
onderbouwt vervolgens deze mening niet. En dat is eigenlijk diep triest
voor iemand die zich security consultant noemt. Neem de eeuwen oude
koe uit de sloot, de apache vs IIS vergelijking, of de Exchange vs
Sendmail/Postfix vergelijking. Natuurlijk zeg ik niet dat je VEILIG (als in
absolute veiligheid) bent als je geen Microsoft gebruikt maar gezien de
enorme verschillen in lekken (3:1), live malware(Un:1) en uitbraken (Un:1)
ben je statistisch gezien wel degelijk beter af zonder Microsoft. En
misschien is het dan maar tijdelijk, maar tijdelijk is relatief... Iedereen heeft
een virusscanner, en dat is ook maar tijdelijk 'goed'.
08-05-2007, 09:43 door Anoniem
"geen Microsoft software" zou moeten zijn "niet alleen
Microsoft software". Als mensen verschillende software (dus
ook OSen) zouden kunnen gebruiken en dan ook nog in
combinaties daarvan (Linux OS, Firefox, MS-Office) dan zal
je echt zien dat het veiliger wordt. En laten we wel wezen,
het enige wat voor MS (en de meeste software leveranciers !)
geldt, is snel en duur mogelijk hun product op de markt.
08-05-2007, 10:02 door Anoniem
de onveiligheid van microsoft producten is een symptoon,
geen oorzaak. microsoft maakt gewoon gebruik van de totale
achterlijkheid van klanten die toestaan dat ze zulke slechte
producten op de markt brengen. en, immers, tegenwoordig is
het normaal dat je als bedrijf alles en iedereen naait in
naam van je aandeelhouders.
08-05-2007, 10:05 door Anoniem
Door V.
Door Iceyoung
Dat MS produkten vanaf grond af aan niet veilig (genoeg)
zijn is natuurlijk
wel een kwalijke zaak maar wie weet hoeveel (onontdekte)
lekken er nog
in andere systemen zitten.

Een kleine nuance is hier op zijn plaats. Producten die op
basis van de
SDL zijn ontwikkeld en worden onderhouden zijn zeker in
basis wel veilig.
Feit blijft echter omdat het nog steeds de meest gebruikte
software is,
deze software ook het meest interessant is voor kwaadwillende.

SDL:
http://msdn2.microsoft.com/en-us/library/ms995349.aspx
Uiteraard. Net zoals betonnen zwemvesten met een ISO 9001
keurmerk uitermate betrouwbare producten zijn ;-)

Het proces dat gevolgd is om een product te maken is
belangrijk, maar de kwaliteit van het proces zegt helemaal
niets over de kwaliteit van het product. En dat is met SDL
net zo.

Uiteindelijk maakt het niet uit wie er ge drote aanbieder op
IT-gebied is, het gaat er om dat het hele probleem is dat er
1 hele grote aanbieder op IT gebied is. Dat noemen biologen
een monocultuur. Ja, dat ding waar bijvoorbeeld Daniel Geer
tegen aan heeft geschopt, nog niet zo lang geleden. Biologen
begrijpen dat een diverse cultuur essentieel is voor het
voortbestaan van een soort, en meer algemeen een ecosysteem.
Dat geldt voor IT systemen net zo.

Kijk naar het recente DNS-lek. Heb je een pure Windows DNS
infrastructuur, dan heb je een probleem. Heb je een DNS
infrastructuur met een gedeelte Windows, een gedeelte bind
op pak 'm beet soalris en een gedeelte weer iets anders op
nog een ander platform, dan heb je een dns infrastructuur
die veel minder kwetsbaar is. Gevolg is dat je je minder
zorgen hoeft te maken over een DNS-worm, en er zelfs vor
kunt kiezen om tijdelijk de Windows DNS server uit te
schakelen om infectie te voorkomen. De zelfde argumentatie
kun je toepassen op andere infrastructurele componenten.

Uiteraard gaan de beheerlasten omhoog van dit soort
infrastructuren, maar aan de andere kant, ik vind het
uitermate beperkend dat er mensen zijn die zich alleen met
Microsoft bezig houden, en ik vind dat dat soort
beheerkosten voor een deel vallen onder beveiligingskosten.
08-05-2007, 10:34 door Anoniem
Door V.
Door Iceyoung
Dat MS produkten vanaf grond af aan niet veilig (genoeg)
zijn is natuurlijk
wel een kwalijke zaak maar wie weet hoeveel (onontdekte)
lekken er nog
in andere systemen zitten.

Een kleine nuance is hier op zijn plaats. Producten die op
basis van de
SDL zijn ontwikkeld en worden onderhouden zijn zeker in
basis wel veilig.
Feit blijft echter omdat het nog steeds de meest gebruikte
software is,
deze software ook het meest interessant is voor kwaadwillende.

SDL:
http://msdn2.microsoft.com/en-us/library/ms995349.aspx

Jij kunt de stelling dat producten die volgens SDL
ontwikkeld zijn in basis veilig zijn niet met feiten
onderbouwen.

Daarnaast is SDL een waardeloze software engineering methode
die alle verzamelde kennis met betrekking tot 30 jaar
iteratieve methodes negeert. Zowel Apple als Linux hebben
laten zien dat veel meer zin heeft om vaker te releasen dan
development cycles van 5 jaar aan te houden.
08-05-2007, 11:34 door Anoniem
Door Anoniem
Grapsig... Toevallig gisterenavond nog vijf vliegtuigcrashes bekeken... En
raadt eens.. 4 maal was het vliegtuig (en ook nog eens alle vier Boeing, de
microsoft onder de vliegtuigen), niet de piloot, en bij 1 was de piloot
medeschuldig maar alleen omdat het hem zo geleerd was door zijn
vliegtuigmaatschappij, terwijl de fabrikant het juist ten zeerste afraade zo'n
manouvre te maken.

Rothke heeft het nog meer mis trouwens. Hij beweert dat het niet veiligER
wordt bij weghalen van Microsoft producten omdat 'alles' aan internet
onderhevig is aan security. Maar dat is GEEN argument, er is geen
onderbouwing met feiten dat andere producten net zo vaak
gehacked/gep0wned wordt als Microsoft producten, of dat er net zoveel
lekken zijn in deze software. Met andere woorden, hij roept maar wat, maar
onderbouwt vervolgens deze mening niet. En dat is eigenlijk diep triest
voor iemand die zich security consultant noemt. Neem de eeuwen oude
koe uit de sloot, de apache vs IIS vergelijking, of de Exchange vs
Sendmail/Postfix vergelijking. Natuurlijk zeg ik niet dat je VEILIG (als in
absolute veiligheid) bent als je geen Microsoft gebruikt maar gezien de
enorme verschillen in lekken (3:1), live malware(Un:1) en uitbraken (Un:1)
ben je statistisch gezien wel degelijk beter af zonder Microsoft. En
misschien is het dan maar tijdelijk, maar tijdelijk is relatief... Iedereen heeft
een virusscanner, en dat is ook maar tijdelijk 'goed'.

Je spreekt jezelf een beetje tegen, het korte neus syndroom, "Het word
veiliger" (stelling) "al is dat maar tijdelijk "(verzachting). Het word dus niet
aantoonbaar veiliger op de lange termijn.

Daarnaast is de hele discussie gewoon flamebait omdat MS software toch
wel gebruikt word, mensen hebben het gekocht en zullen het niet ineens
masaal aan de kant zetten omdat "het veiliger word".

Wel zie je langzaam meer awarenes ontstaan, mensen en bedrijven
kiezen niet helemaal automatisch meer voor MS. Apple gebruik verdubbelt
de laatste tijd.
08-05-2007, 12:08 door V.
Software zal nooit 100% veilig zijn. Het enige dat een bedrijf kan doen is
door middel van het inrichten van de juiste processen en procedures
zorgen voor een zo goed mogelijke beveiliging. Ook deze beveiliging is
relatief, aangezien het op het moment van bouwen "veilig" is.

@Anoniem
Een van de producten die volledig door het SDL proces zijn gegaan is SQL
2005. Gezien de cijfers, al zijn het gekleurde cijfers, kunnen we stellen dat
producten die ontwikkeld zijn met behulp van de SDL in basis wel veilig ,
misschien is hier ook een nuance op zijn plaats en moet het veiliger, zijn.
Veilig op het moment van bouwen wel te verstaan.
http://blogs.technet.com/security/archive/2006/11/07/sql-server-2005-1-
year-and-not-yet-counting.aspx

@extranion
Het feit dat patches voor Linux distributies, soms want dat is lang niet altijd
het geval, eerder beschikbaar komen wil niet zeggen dat deze van de juiste
kwaliteit zijn. Dat valt zelfs ten zeerste te betwijfelen.
08-05-2007, 13:34 door Anoniem
Door V.
@Anoniem
Een van de producten die volledig door het SDL proces zijn
gegaan is SQL
2005. Gezien de cijfers, al zijn het gekleurde cijfers,
kunnen we stellen dat
producten die ontwikkeld zijn met behulp van de SDL in basis
wel veilig ,
misschien is hier ook een nuance op zijn plaats en moet het
veiliger, zijn.
Veilig op het moment van bouwen wel te verstaan.
http://blogs.technet.com/security/archive/2006/11/07/sql-server-2005-1-
year-and-not-yet-counting.aspx
Berichtgeving van Microsoft, dus per definitie niet
onafhankelijk. Maar daarnaast: hoe lang is SQL Server 2005
op de markt? Hoe zit het met de deployment graad van dit
pakken versus de deployment graad van SQL Server 2000?
Hoeveel gebruikers draaien SQL Server internet-facing?

Daarnaast is SQL Server wel een heel makkelijk product om te
gebruiken om jezelf op de borst te slaan dat SDL werkt... er
zijn in het verleden niet zo vreselijk veel problemen
gevonden in SQL Server.
08-05-2007, 14:08 door Anoniem
het grootste probleem van beveiligen blijft nog altijd de mens.
men is nu eenmaal te lui om een handleiding of cursusboek goed door te
nemen voor men iets installeerd of aanschaft.
Ik vraag me af hoeveel "microsoft specialisten" eigenlijk weten dat er tig
security templates zijn die men kan importeren na een installatie van een
Windows OS of applicatie.
Zeiken op microsoft als er wat fout gaat, maar als je dan machine nakijkt
op wat allemaal ingesteld is, val je vaak van de ene verbasing in de andere.
09-05-2007, 16:51 door Nomen Nescio
"Toch komen ongelukken nog steeds voor, en zijn meestal het gevolg van
een fout van de piloot."
Dit is wel een erg harde uitspraak. Schrijver heeft duidelijk geen
vliegbrevet, anders zou hij weten dat de meeste ongelukken te wijten zijn
aan technische problemen en niet aan de vlieger. Een beetje voorzichtiger
omgaan met zulke uitspraken voorkomt dat bepaalde mensen terecht
boos worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.