image

Microsoft: Wat als onze software niet meer lek was?

zondag 30 september 2007, 09:56 door Redactie, 22 reacties

Wat als de software van Microsoft geen beveiligingslekken meer bevatte, zouden dan alle problemen en malware de wereld uit zijn? Nee, zegt Microsoft-beveiliger Jeff Jones. Jones baseert zich op cijfers van gehackte webservers tussen 2002 en 2004. Daaruit blijkt dat 19% via nieuwe lekken en 26% via ongepatchte lekken gehackt werd. Meer dan de helft van alle succesvolle aanvallen was een combinatie van fouten, brute force aanvallen en social engineering.

"Als ik de voortgang van een vendor wil meten aan de hand van het aantal lekken, dan heeft succes in dit gebied slechts effect op het kleinste percentage. De overige beveiligingsrisico's (55%) zijn van compleet andere factoren afhankelijk."

Volgens Jones kan zelfs perfecte software het malware probleem niet oplossen, wat tevens de rol van andere security disciplines toont, zoals security management en het onderwijzen van gebruikers. "In de tussentijd moeten we alle vendors aanmoedigen om perfecte software af te leveren, om ook het aantal nieuwe en ongepatchte lekken te verminderen."

Reacties (22)
30-09-2007, 10:55 door Ikkedus
Helemaal waar. Als dat zo zou zijn, wie moeten we dan de schuld geven
van onze eigen stommiteiten?
30-09-2007, 13:12 door Anoniem
En dit is niet kinderachtig ontwijken van een probleem omdat?
30-09-2007, 14:08 door Anoniem
Beste grappig, want deze meneer zegt dus een aantal dingen.
Eentje is dat de dicussie tussen Windows vs "Linux" lekken
eigenlijk een non-discussie is. Dit terwijl het zowel een
stokpaardje is van beide werelden.

De ander is dat hij de aandacht probeert te verplaatsen naar
andere gebieden binnen de ICT, maar of dat zo is blijft de
vraag. Er valt namelijk nog veel te leren hoe bv beveiliging
van een pand in de echte wereld werkt. Want wat hij nu zegt
is dat een klapdeur voldoende beveiliging zou zijn, maar
mensen moeten de disipline hebben om elke keer de deur
achter zich dicht te doen.

Pandbeveiligers lossen dit op door bv een draaideur en in
sommige gevallen ook met een gewichtsmeter om te meten je
geen dingen hebt meegenomen of hebt achter gelaten. En je
ziet ook steeds meer programmeurs zo reageren in bepaalde
gebieden van de ICT gelukkig. Helaas kunnen er dan soms wel
dingen preventief kapot gaan of features moeten missen of
anders worden opgelost.

Het is dan ook niet zo om perfecte software te leveren, maar
software die verstandig is opgezet. In dat opzicht is het
verhaal van deze meneer niet zo verwonderlijk, want er zijn
voldoende dingen die anders kunnen en moeten in zowel oa de
Microsoft en Unix wereld. Helaas zal er nog het nodige
moeten worden onderzocht want aan sommige dingen zijn
gebruikers nu gewend en kosten geld om aan te passen.

Bij dat geld zit ook een probleem en geeft ook een extra
dimensie aan meneer zijn onderzoekje, want hij probeert nu
de fundering te leggen voor als bv MS zometeen minder geld
wenst uit te trekken voor het beveiligen van hun software.
Of in iedergeval in een minder hoog tempo. Nieuwe releases
geven nieuwe inkomsten en extra producten en diensten geven
ook extra inkomsten. Je kan moeilijk jezelf gaan beroven van
inkomsten als aandeelhouders aan de poort staan te rammelen
voor geld.
30-09-2007, 14:49 door [Account Verwijderd]
[Verwijderd]
30-09-2007, 16:33 door Eerde
Jones baseert zich op cijfers van gehackte webservers
tussen 2002 en 2004.

Alsof de wereld, vooral die van beveiliging en malware, in
de afgelopen 5 heeft heeft stilgestaan.

Dergelijke uitspraken gedaan op recente onderzoeken zijn al
dubieus, laat staan gebaseerd op stenentijdperk data.

2002 was XP net uit en draaie de merendeel van de
thuisdesktops nog op '98 of ME...
30-09-2007, 16:51 door Anoniem
Goed om te zien dat het besef groeit dat bugvrije software
niet 'de' oplossing is. Een eerste voorzichtige stap om in
te gaan zien waar het
grote probleem zich nou eigenlijk bevind, namelijk in het
feit dat de software per definitie met veel te veel
authoriteit draait, namelijk in het beste geval alle
authoriteit van de gebruiker, en in het slechtste geval alle
authoriteit van de superuser/administrator.
De oplossing voor het grote probleem zit hem dan ook eerder
in het aanbieden van decompositie of beter nog designatie
mogelijkheden om beperkte subsets van authoriteit aan
applicaties door te geven.
Als je beschikt over een dergelijke oplossing, dan is het
aantal aps dat bugvrij zou moeten zijn direct terug gebracht
tot enkele procenten van wat het nu is, en wordt de rest van
het probleem daarmee oplosbaar.
30-09-2007, 19:51 door SirDice
Zie de top 10 virussen.. De meeste misbruiken niet eens een
bug in het OS of programma.. Dus..
30-09-2007, 21:44 door [Account Verwijderd]
[Verwijderd]
30-09-2007, 23:10 door Anoniem
En toch heeft de beste man wel een tikkeltje gelijk, want
exploits in het OS zijn er dan wel...maar 3rd party software
moet het ook ontgelden. Voorbeeld: Actieve exploits van
Adobe Reader en Flash die worden misbruikt. De rede: dit
komt op 90% van de desktops voor. Hoeveel websites worden er
wel niet misbruikt zonder dat men het zelf weet. De
crimineel zal altijd het grote geld willen. Liever 5 cent
van Jan Modaal dan 1 euro van de rijken. Als Linux op 90%
van de desktops zou zitten, dan zitten we met exact
hetzelfde probleem. Laat Windows dus maar lekker populair,
dan ben ik met mijn Linux geen gewild doelwit voor criminelen :)
30-09-2007, 23:38 door Anoniem
Een afspraak voor een Consult bij anoniem 14:08 lijkt mij niet erg nuttig.
Als ik dat zo lees,schijnt het erg ingewikkeld te zijn als de Software van MS
eindelijk eens gewoon niet meer lekt.
Tenminste als ik dat stuk lees zijn we er nog lichtjaren van verwijderd.
Enfin,laten we hopen dat het MS ooit lukt.
01-10-2007, 10:05 door Anoniem
Door Beukenoot
Een afspraak voor een Consult bij anoniem 14:08 lijkt mij
niet erg nuttig.
Als ik dat zo lees,schijnt het erg ingewikkeld te zijn als
de Software van MS
eindelijk eens gewoon niet meer lekt.
Tenminste als ik dat stuk lees zijn we er nog lichtjaren van
verwijderd.
Enfin,laten we hopen dat het MS ooit lukt.
Je hebt nog niet de helft begrepen eigenlijk, want ja het is
ingewikkeld ook omdat software ontwikkeling meestal een
technische uitdaging moet oplossen ipv een vraagstuk. En ook
omdat elke nieuwe generatie programmeurs amper de kennis en
kunde van de vorige generatie overneemt.

Netwerkontwerpers zijn hier al een stuk verder in en kijken
oa ook naar beveiliging van panden omdat er eigenlijk een 1
op 1 match is en er jaren aan kennis en kunde ligt op dat
vakgebied. Maar bij software-ontwikkelaars zie je dat weinig
of is het een druppel op gloeiende plaat.

En lees maar eens goed de bugreports die komen tegenwoordig.
Er worden steeds meer bugreports over logische fouten in
software ontdekt en is zeker een gebied om aandacht aan te
besteden. Helaas zijn veel van die fouten te voorzien bij
goed en gedegen ontwerpen van de software of bij de
pakketselectie van aan te kopen software.

Als z'n consult niet erg nuttig lijkt, dan is dat zo voor
jouw. Helaas voor jouw denken de partijen waar ik voor werk
daar anders over om proactief bezig te zijn en de troep
zoveel mogelijk bij de voordeur te stoppen dan jaren erna
met de ellende te zitten. En op dat vlak gaat het artikel
ook vrij plat, want wat het gewoon zegt is dat ze weinig aan
logische problemen gaan doen in hun software. Dit is een
trieste ontwikkeling en zeker als mensen erin trappen of
accepteren.
01-10-2007, 10:36 door Anoniem

Zie de top 10 virussen.. De meeste misbruiken niet eens een
bug in het OS of programma.. Dus..

goh einstein... daar is het ook een virus voor...
01-10-2007, 10:57 door SirDice
Door Anoniem

Zie de top 10 virussen.. De meeste misbruiken niet eens een bug in het OS of programma.. Dus..
goh einstein... daar is het ook een virus voor...
Nee, slimmerik. Er zijn dus geen lekken nodig om iedereen het leven zuur te maken op Internet. Ergo, malware is niet afhankelijk van beveiligingslekken.
01-10-2007, 11:54 door Anoniem
Uhm dat zeg ik toch..? Begrijpend lezen is ook niet zo makkelijk en
aangezien ik in een goede bui ben vandaag zal ik voor de minder
getalenteerde onder ons mijn opmerking proberen te verduidelijken:

Een virus gebruikt veelal geen vulnerability, daar is het een virus voor alsin:
een virus zou een virus niet zijn als deze middels een vulnerability zichzelf
zou verspreiden...

Wellicht is het nu wat duidelijker...
01-10-2007, 12:11 door Anoniem
Door Anoniem
virus zou een virus niet zijn als deze middels een vulnerability zichzelf
zou verspreiden...

Wellicht is het nu wat duidelijker...

Dan is het toch een worm?
01-10-2007, 12:23 door Anoniem
dat is correct...
01-10-2007, 13:30 door SirDice
Ehmm.. Zo goed als alle "virussen" in de top 10 zijn wormen..
01-10-2007, 14:02 door Anoniem
Door SirDice
Ehmm.. Zo goed als alle "virussen" in de top 10 zijn wormen..

Nee, er komen bijna geen wormen in het wild voor. Het is juist andersom,
de top 10 "wormen" zijn bijna allemaal virussen. Virussen hebben de
gebruiker nodig om ze te starten en dat blijft natuurlijk de beste vulnerability
ooit. De domheid van de gebruiker.

Een virus is een trojan die zichzelf naar andere computers verspreid, maar
heeft daar nog wel een actie van de gebruiker nodig. Een worm gebruikt
een lek om zichzelf te verspreiden en heeft geen acties van een derde
meer nodig.
01-10-2007, 15:55 door SirDice
Door Anoniem
Door SirDice
Ehmm.. Zo goed als alle "virussen" in de top 10 zijn wormen..

Nee, er komen bijna geen wormen in het wild voor. Het is juist andersom, de top 10 "wormen" zijn bijna allemaal virussen. Virussen hebben de
gebruiker nodig om ze te starten en dat blijft natuurlijk de beste vulnerability
ooit. De domheid van de gebruiker.
Een virus is een trojan die zichzelf naar andere computers verspreid, maar heeft daar nog wel een actie van de gebruiker nodig. Een worm gebruikt een lek om zichzelf te verspreiden en heeft geen acties van een derde meer nodig.
Fout dus... Worm of virus heeft helemaal niets te maken met het wel of niet nodig hebben van een gebruikersactie.

Een worm is een "self contained" ding. Het heeft alles in zich om zichzelf te vermenigvuldigen. Het draait geheel zelfstandig.

Een virus moet zich "binden" aan een andere executable. Als zodanig heeft het een andere executable "nodig" om actief te kunnen worden.


A computer worm is a self-replicating computer program. It uses a network to send copies of itself to other nodes (computer terminals on the network) and it may do so without any user intervention. Unlike a virus, it does not need to attach itself to an existing program.
http://en.wikipedia.org/wiki/Computer_worm

Een trojan is iets wat onschuldig lijkt (een spelletje, screensaver etc.) en op de achtergrond z'n kwalijke acties uitvoerd. Vergelijk de legende van Troje.
01-10-2007, 16:24 door Anoniem
SirDice, niet om het het een of ander, maar nu geef je aan wat de verschillen
tussen virussen en wormen zijn (al dan niet een beetje ongelukkig en
onvolledig, maar zoals ik al zei, ik ben in een goede bui vandaag) en toch
stel je dat de meeste virussen in de top 10 wormen zijn. Appels en peren als
je het mij vraagt.

Overigens wordt het begrip trojan ook vaak in de AV industrie gebruikt voor
een backdoor. Alsin malware x download een trojan y (de backdoor) om
controle ui te oefenen op het geinfecteerde systeem.

Anoniem van maandag 01 oktober 2007 10: 36 en 11:54
01-10-2007, 16:46 door SirDice
Whatever... En ik heb een p...bui (mars in m'n sterrenbeeld)...

Netsky, MyTob, MyDoom, Sasser, Blaster etc.. zijn wormen.. PUNT.
01-10-2007, 19:01 door Anoniem
Pestbui? Moet toch kunnen.
Nou niet iedereen zit op 1 lijn natuurlijk,maar wat heb ik toch met Anoniem
van 30 Sept 14:08 en 1 Okt 10:15.?
Dat het dezelfde persoon is lijkt me vrij duidelijk omdat beide betogen
identiek en met het zelfde taalgebruik zijn geschreven.
Bij mijn eerste reactie schreef ik expres een woord wat je ook dubbel kunt
opvatten.
In mijn gelijk, zou het zijn beroep kunnen zijn.
Maar post wel overdag om 10:15 (moet kunnen).
Wat deze meneer zo in mij boeit is dat hij onnavolgbaar, altijd
achterliggende gedachtes van een Topic op papier zet.
Soms echt niet te volgen voor een Europeaan.(de nederlander bestaat
niet).
Hoe krijgt ie het voor elkaar om een paar stukjes zo in elkaar te draaien?
Geniaal?
Eens las ik een stuk wat exact past bij de genoemde stukken.
De achterliggende gedachte van een Firewall.
Fantastisch om te lezen,maar je kon er geen hout van maken.
Als ik het al goed heb,doet het me plezier dat ik dat taalgebruik weer
tegenkwam.
Dat ik dit schrijf wil niet zeggen dat ik hem niet mag,want ik ben ook maar
iemand van het Simplistisch Verbond.
Hoop meer te lezen van hem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.