SANS: Veilige Microsoft software is niet dé oplossing
Het SANS Institute heeft haar lijst van de twintig meest kritieke beveiligingslekken op het Internet bijgewerkt. Naast lekken in Internet Explorer, Windows, Microsoft Office en mediaspelers heeft men voor het eerst ook de menselijke factor in het overzicht opgenomen.
Vaker dan ooit te voren zijn mensen de zwakste schakel en de manier voor computercriminelen om toegang tot systemen of vertrouwelijke informatie te krijgen. Met name "spear phishing" en Password/PIN phishing vormen een ernstige bedreiging.
Het is dan ook niet alleen meer Microsoft dat de schuldige is. De softwaregigant heeft haar software steeds veiliger gemaakt, maar dat heeft aanvallers niet afgeschrikt. In 2006 is het aantal aanvallen op ongepatchte lekken in Office, back-up software, mediaspelers en VoIP juist toegenomen.
"We hebben gedaan dat het probleem zou verdwijnen als Microsoft betere software zou leveren, maar we vergaten dat elk ander bedrijf net zulke onveilige software schreef als Microsoft" zegt Alan Paller, hoofd onderzoek van het SANS Institute.
Door aanpassingen aan Windows zijn er geen grote virusuitbraken meer, maar gebruikers zijn niet veiliger dan in de tijd van Sasser en Slammer, gaat Paller verder. "De doorsnee gebruiker is beduidend minder veilig. Dit komt niet omdat de aanbieders slechter zijn geworden, maar omdat het aantal slechterikken is toegenomen".
Hieronder het volledige overzicht:
Besturingssystemen
Internet Explorer
Windows Libraries
Microsoft Office
Windows Services
Windows Configuration Weaknesses
Mac OS X
UNIX Configuratie zwakheden
Cross-Platform Applicaties
Web Applicaties
Database Software
P2P File Sharing Applicaties
Instant Messaging
Mediaspelers
DNS Servers
Backup Software
Security, Enterprise en Directory Management Servers
Netwerk Apparaten
VoIP Servers en telefoons
Netwerk en andere configuratiefouten in apparaten
Security Policy en Personeel
Uitgebreide User Rights en ongeautoriseerde apparaten
Gebruikers
Special afdeling
Zero Day Aanvallen en Preventie Strategieen
Update: link met uitspraak Paller toegevoegd
omdat de aanbieders slechter zijn geworden, maar omdat het aantal
slechterikken is toegenomen
Deste meer de reden dat overheden bedrijven als microsoft hogere
sancties opleggen met betrekking tot de veiligheid voor gebruiker.Deze
brengen het product op de markt dus zij zijn ook verrantwoordelijk voor
veiliger software voor gebruiker en niet de gebruiker zelf.
inhoud komt volledig niet overeen met de inhoud van de
geciteerde site van Sans.org. Zeker de conclusies die
gemaakt worden over Microsoft zijn niet accuraat en niet
onderbouwd op basis van citaten.
De Sans lijst geeft helemaal geen oordeel over de oorzaak
van de vulnerabilities.Het is alleen een opsomming van de
huidige stand van zaken, op baisi van analyses van
vooraanstaande instituten, organisaties en universiteiten.
Het is wel opvallend dat microsoft prominent op deze lijst
aanwezig is.
Ik raad dan ook iedereen aan het artikel op sans.org te
lezen en de tekst die hier staat verder te vergeten.
http://www.eweek.com/article2/0,1895,2060235,00.asp laat
zien dat SpamBot netwerken voor 99.95% (!!!!) bestaan uit
Windows systemen ( zie grafiek hier per OS:
http://www.eweek.com/slideshow/0,1206,l=&s=25954&a=194164,00.asp
)
Windows wordt veel gebruikt, maar procentueel niet zoveel.
Het is dus *wel* van belang dat software veilig is!
Gevonden via
http://it.slashdot.org/article.pl?sid=06/11/17/1415244
Windows wordt veel gebruikt, maar procentueel niet zoveel.
Het is dus *wel* van belang dat software veilig is!
Nonsens. Dit gaat over SpamThru, die alleen op Windows draait.
Microsoft betere software zou leveren, maar we vergaten dat
elk ander bedrijf net zulke onveilige software schreef als
Microsoft" zegt Alan Paller, hoofd onderzoek van het SANS
Institute.
leveranciers vaak ernstige fouten bevatten. Ook in diverse
*nixen.
Maar zoals deze uitspraak hier staat, kan je er in lezen dat
alle software even veilig of onveilig is. En daar ben ik het
absoluut niet mee eens.
Er bestaan er wel degelijk verschillen in kwaliteit en
veiligheid tussen verschillende vergelijkbare
software-producten.
De kwaliteit van het ontwerp ís enorm belangrijk. Een
formule 1 auto is van meet af aan voor ander gebruik
ontworpen dan een terreinwagen. Als je een F1-auto gebruikt
voor het terrein, zal je er het nodige aan moeten patchen,
voor dat een beetje lukt. Maar door de aard van het ontwerp,
blijf je patchen en wordt die F1-wagen nooit een volwaardige
terreinwagen.
Nog een slecht voorbeeld om het belang van het ontwerp te
onderstrepen: een 747 patch je niet even om naar een JSF.
Dat komt doordat de ontwerpen te verschillend zijn.
Zoals gelijkgeprijsde mini-setjes van verschillende merken
verschillende kwaliteiten hebben, geldt dat voor alle
producten, ook software.
Een mooi voorbeeld van software die hetzelfde doet, en zelfs
compatibel is, maar heel anders ontworpen en ook een andere
veiligheidsgeschiedenis heeft, zijn Sendmail en Postfix. Of
de DNS-servers Bind en djbdns. Of Firefox, Internet
Explorer, Konqueror en Opera. Norton of Kaspersky.
Om die reden gebruik ik geen Sendmail, al is dat product op
dit moment misschien even veilig, maar Postfix. En om
dezelfde reden geen IE (en Windows;) maar linux met Firefox,
dat niet in linux ingebakken zit.
Kijkend naar de pleistergeschiedenis van IE en Windows,
waarin de ene patch de andere repareert en waarin men
voortdurend nieuwe kritieke lekken vindt, denk ik dat je kan
vaststellen dat het ontwerp niet deugt. Microsoft's drang om
dit soort toepassingen in het os te integreren, hebben de
zaak niet veiliger gemaakt.
Een commerciëel bedrijf kan niet zomaar even een product
volledig herschrijven, dat wordt veel te duur en de
aandeelhouders zullen er vermoedelijk niet blij mee zijn. De
eerste fouten in IE 7 blijken ook in andere versies te
zitten. Dus net als de mensen van C'T (decembernummer
blz.32) vraag ik me af in hoeverre IE werkelijk van de grond
af herschreven is.
En dat schept weer verwachtingen voor de toekomst.
In *nix kan je doorgaans wèl goed werken zonder
admin-rechten en draaien services ook vrijwel altijd zonder
extra rechten. Chrooting, nologin, r/o mounten van
bestandssystemen. Het zijn allemaal extra lagen die Windows
eigenlijk mist. Windows is 'platter' en als je een lek hebt,
zit je gelijk op de bodem ook.
Het is niet zomaar dat Microsoft bijna een vaste plaats
heeft op Secunia en Sans.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
