Ook Microsoft beveiligingschef werkt met lekke PC
Afgelopen woensdag verscheen onderzoek van het Deense Secunia waaruit blijkt dat 98% van alle Windows computers lek is en ook de computer van Microsoft beveiligingstopman Roger Halbheer valt in die categorie. Naar aanleiding van het persbericht besloot de "chief security advisor" de software te installeren en zag tot zijn schrik tien lekke applicaties. Naast verschillende oude Java versies liep Halbheer ook achter met updates voor QuickTime en Flash.
De uitkomst verraste de beveiliger, die naar eigen zeggen zijn computer netjes onderhoudt. Toch miste hij een aantal belangrijke updates, wat meteen het fundamentele probleem van patchen weergeeft. "Als ik mijn PC al niet up to date kan houden, hoe kunnen mijn ouders dit dan? De Secunia PSI helpt een beetje, maar ik weet niet zeker of mijn pa en ma er mee om kunnen gaan." Volgens Halbheer mist er een centraal update mechanisme voor het distribueren van patches en updates. "Maar wie beheert dit kanaal? Wie zorgt ervoor dat criminelen er geen toegang toe krijgen? Dat er geen virussen mee worden verspreid?" De beveiliger ziet dan ook nog een lange weg voor zich.
Algemene patchtool
In een eerder interview met Security.nl liet Secunia al weten dat er voorlopig nog geen tool verschijnt die alle programma's op de computer kan monitoren en patchen. "Ik zou het graag willen doen," liet CTO Thomas Kristensen weten. Menig ontwikkelaar zal een derde partij namelijk geen toestemming geven om patches te "rebranden" en opnieuw uit te geven.
Een ander punt is de lokalisatie. Secunia linkt nu nog naar Engelse patches, die bij Nederlandse versies van de software niet werken. "Het komt regelmatig voor dat een Nederlandse gebruiker ons mailt en zegt dat de gelinkte patch niet werkt." Zeker als het om bedrijven gaat is het automatisch uitrollen van updates geen gemakkelijke taak en moet er rekening worden gehouden met de omgeving van het bedrijf. Generieke update pakketten zijn daarom lastig samen te stellen.
Reacties (23)
Er is al eens geopperd dat Microsoft patches gaat verspreiden van derden. Aangezien dit Microsoft veel inzicht zal geven in de verspreiding en gebruik van software van derden zal het wel nooit zover komen.
Alleen een geheel onafhankelijke niet-commerciele instelling zal partijen aan zich kunnen binden. Die instelling zal dan wel monitoring moeten verrichten, want dat willen de bedrijven graag, maar wel zo dat het veilig is. Dat staat in ieder geval op gespannen voet met de nuts-achtige functie van zo'n instelling.
Alleen een geheel onafhankelijke niet-commerciele instelling zal partijen aan zich kunnen binden. Die instelling zal dan wel monitoring moeten verrichten, want dat willen de bedrijven graag, maar wel zo dat het veilig is. Dat staat in ieder geval op gespannen voet met de nuts-achtige functie van zo'n instelling.
Het patchen vind ik één van de grote voordelen van Linux (in mijn geval Ubuntu) ; erg gemakkelijk .
Want niet alleen worden in Ubuntu het besturingssysteem , maar ook de geïnstalleerde programma's , worden met één druk op de knop geupdate.
Voor mensen die niet weten (of gewoon geen zin hebben) hoe ze hun systeem up to date moeten houden is dit Linux update systeem een uitkomst.
Als MS ook zoiets zou maken voor Windows ,zou dat zeker de veiligheid van Windows ten goede komen.
Want niet alleen worden in Ubuntu het besturingssysteem , maar ook de geïnstalleerde programma's , worden met één druk op de knop geupdate.
Voor mensen die niet weten (of gewoon geen zin hebben) hoe ze hun systeem up to date moeten houden is dit Linux update systeem een uitkomst.
Als MS ook zoiets zou maken voor Windows ,zou dat zeker de veiligheid van Windows ten goede komen.
Ik heb die scan net gedaan en ik krijg dit als resultaat:
http://img377.imageshack.us/img377/3766/scannowonlineosivulneratr5.png
Ik snap helemaal nisk van dit resultaat. Alles is uptodate en toch de melding dat niet alles uptodate is. Kortom waardeloos dit.
Alle microsoft updates zijn ook geïnstalleerd.
http://img377.imageshack.us/img377/3766/scannowonlineosivulneratr5.png
Ik snap helemaal nisk van dit resultaat. Alles is uptodate en toch de melding dat niet alles uptodate is. Kortom waardeloos dit.
Alle microsoft updates zijn ook geïnstalleerd.
07-12-2008, 11:34 door
[Account Verwijderd]
[Verwijderd]
... blijkt dat 98% van alle Windows computers lek is ...
Waarom moet er nu weer zo nadrukkelijk bij staan dat het om Windows-computers gaat?Als ik mijn PC al niet up to date kan houden, hoe kunnen mijn ouders dit dan?
Windows-updates gaan toch automatisch? Geen omkijken naar. En voor de overige programma's zijn er genoeg programma's die zichzelf updaten. Firefox, Outpost, Thunderbird, Java. Dus als je je software een beetje handig kiest kan dat je veel gemak opleveren.Volgens Halbheer mist er een centraal update mechanisme voor het distribueren van patches en updates ... De beveiliger ziet dan ook nog een lange weg voor zich.
Als de beveiliger zijn oogkleppen eens af zou doen, zou hij misschien wat kunnen leren van packaga-management zoals dat bijvoorbeeld onder linux of OS/X geregeld is.Menig ontwikkelaar zal een derde partij namelijk geen toestemming geven om patches te "rebranden" en opnieuw uit te geven.
Dat probleem speelt bij open source veel minder, ook al zijn lang niet alle open source-licenties compatibel.Een ander punt is de lokalisatie.
Bij linux geen punt in elk geval. Geen aparte patches voor NL of US tenzij het om zoiets als spellingscontroles gaat.Door SjaanTsja, dat zou mooi zijn. Maar wordt in Ubuntu dan ook de closed-source software gepatcht (zoals bijv Adobe reader en flash) of alleen het OS zelf en open-source software ?
Want in dat geval zie ik dat nog niet zo snel gebeuren.
Alle software wordt geupdate die geïnstalleerd staat, tenzij het buiten je package manager om is geïnstalleerd :)Want in dat geval zie ik dat nog niet zo snel gebeuren.
07-12-2008, 12:27 door
Darkman
Secunia PSI is wel ok, maar wanneer ik [url=http://www.kcsoftwares.com/index.php?sumo]SUMo[/url] draai blijk ik nog veel meer updates te kunnen ophalen.
07-12-2008, 12:32 door
[Account Verwijderd]
[Verwijderd]
07-12-2008, 12:33 door
[Account Verwijderd]
[Verwijderd]
Autopatcher: er uit geflikkerd door M$. WindizUpdate: werkt ineens niet meer, ook door M$. Goede initiatieven vegen ze weg, en nu komen ze het slachtoffer uithangen. Hun geldgewin bedriegt hun wijsheid. Meer is dat niet. Minder ook niet.
capricornus
capricornus
Deze microsoft man is exemplarisch voor windows-admin gevogelte: "ik doe alleen windowsupdate.microsoft.com en de rest doet er niet toe, want dat zijn applicaties".
Struisvogelpolitiek is het, hoewel uitgerekend die software die hij niet up-to-date had (op java na, want die meldt zich), zich zelf niet echt bekend maken. Ook sun snap het inmiddels wat beter tegenwoordig: sinds jre 6-11 haalt ie zelf helemaal automagisch oudere versies weg..
Mjaah, we komen er wel, anno 2008 <snif>
Struisvogelpolitiek is het, hoewel uitgerekend die software die hij niet up-to-date had (op java na, want die meldt zich), zich zelf niet echt bekend maken. Ook sun snap het inmiddels wat beter tegenwoordig: sinds jre 6-11 haalt ie zelf helemaal automagisch oudere versies weg..
Mjaah, we komen er wel, anno 2008 <snif>
07-12-2008, 13:33 door
Lamaar
Ja hoor, en zijn vrouw doet het met de buurman. Wat een roddelrubriek is het hier aan het worden zeg! Als je alle gebruikers van Windows kwijt wil, redactie, zeg dat dan. Dit is gewoon smerig aan het worden.
07-12-2008, 13:38 door
Bitwiper
Ik vind niet dat OS fabrikanten verantwoordelijk moeten worden voor het distrubueren van patches van derden.
Het zou erg handig zijn als elke software fabrikant een standaard URL zou hanteren waarvandaan je snel een pagina kunt vinden met de laatste versie per product, bijv. www.fabrikant.com/latest_versions/. Dat zou elke keer een boel zoekwerk schelen.
Beter is het als er in elk besturingssysteem een registry-achtige database met API beschikbaar zou zijn waar applicaties tijdens installatie de actuele versie registreren (en bij uninstall weer weghalen natuurlijk). Hierin zouden ook URL's naar de fabrikant kunnen worden opgenomen waarop je kunt checken of je de laatste versies hebt. Een tool waarmee je deze gegevens eenvoudig kunt opvragen zou onderdeel van elk OS moeten uitmaken.
Ik zie persoonlijk liever dat Microsoft hier wat aan doet (dus een Secunia PSI-achtige tool maken) dan een halfgare gratis virusscanner verstrekken.
Aanvulling: veel Microsoft gebruikers denken veilig te zijn doordat Windows Update op automatisch staat. Ik ken maar weinig mensen die het verschil tussen Windows Update en Microsoft Update kennen.
Het zou erg handig zijn als elke software fabrikant een standaard URL zou hanteren waarvandaan je snel een pagina kunt vinden met de laatste versie per product, bijv. www.fabrikant.com/latest_versions/. Dat zou elke keer een boel zoekwerk schelen.
Beter is het als er in elk besturingssysteem een registry-achtige database met API beschikbaar zou zijn waar applicaties tijdens installatie de actuele versie registreren (en bij uninstall weer weghalen natuurlijk). Hierin zouden ook URL's naar de fabrikant kunnen worden opgenomen waarop je kunt checken of je de laatste versies hebt. Een tool waarmee je deze gegevens eenvoudig kunt opvragen zou onderdeel van elk OS moeten uitmaken.
Ik zie persoonlijk liever dat Microsoft hier wat aan doet (dus een Secunia PSI-achtige tool maken) dan een halfgare gratis virusscanner verstrekken.
Aanvulling: veel Microsoft gebruikers denken veilig te zijn doordat Windows Update op automatisch staat. Ik ken maar weinig mensen die het verschil tussen Windows Update en Microsoft Update kennen.
07-12-2008, 13:46 door
Eerde
Volgens Halbheer mist er een centraal update mechanisme voor het distribueren van patches en updates.
Weer een van de vele voordelen van GNU/Linux !Ook updates van derden worden meegenomen (in ieder geval bij openSuSE).
Maar ja hoe kan dat nou 98% lek ? Volgens Jeff Jones is winddoos toch het veiligste besturingssysteem ?
Nou ik kan hem verzekeren dat het percentage 'lek' bij GNU/Linux maar een fractie is.
07-12-2008, 14:11 door
[Account Verwijderd]
[Verwijderd]
07-12-2008, 14:38 door
Eerde
Ice,
Natuurlijk begrijp ik dat wel, het 'lek' zijn heeft ook betrekking op bv patches van software van derden of gewoon de laatste versie, waarin dan weer alle patches verwerkt zitten.
"Lek" klinkt als: mijn gegevens zijn door iedereen van mijn PC af te plukken.
Vandaar dat ik ook sarcastisch doorborduur op het eerdere bericht :)
Feit blijft dat ook met deze definitie het percentage bij GNU/Linux (ach dat is voor 80% Ubuntu) niet zal voorkomen.
[off-topic]Gisteren Ubuntu 8.10 even een spin gegeven, best leuk. Meteen maar eens Kubuntu gedowned en zit er over te denken het naast mijn geliede Susie te zetten of op buroPC #2. Het ziet er echt goed uit en werkt perfect, zelfs ex windhoo$ piepeltjes zouden hiermee kunnen werken. :)[/off-topic]
Natuurlijk begrijp ik dat wel, het 'lek' zijn heeft ook betrekking op bv patches van software van derden of gewoon de laatste versie, waarin dan weer alle patches verwerkt zitten.
"Lek" klinkt als: mijn gegevens zijn door iedereen van mijn PC af te plukken.
Vandaar dat ik ook sarcastisch doorborduur op het eerdere bericht :)
Feit blijft dat ook met deze definitie het percentage bij GNU/Linux (ach dat is voor 80% Ubuntu) niet zal voorkomen.
[off-topic]Gisteren Ubuntu 8.10 even een spin gegeven, best leuk. Meteen maar eens Kubuntu gedowned en zit er over te denken het naast mijn geliede Susie te zetten of op buroPC #2. Het ziet er echt goed uit en werkt perfect, zelfs ex windhoo$ piepeltjes zouden hiermee kunnen werken. :)[/off-topic]
07-12-2008, 14:56 door
cyberpunk
Als de resultaten van de Secunia PSI te vergelijken zijn met zijn kleine broertje, Secunia OSI, dan mag je die IMHO toch wel met een flinke korrel zout nemen. Zo krijg ik met zijn online broertje (Secunia OSI) het resultaat:
Detection Statistics:
10 Applications Detected in Total
0 Insecure Versions Detected
10 Patched Versions Detected
Probeer ik het echter met Enable thorough system inspection , dan krijg ik dit:
Detection Statistics:
17 Applications Detected in Total
2 Insecure Versions Detected
15 Patched Versions Detected
Waarover gaat het? Twee bestanden die in een (oude) backup steken. Eentje is Acrobat Reader 4.0.0.0 voor Pocket PC (!), een andere is een oude (nu ja, "oud") versie van Portable Firefox, nl. versie 3.0.1. Ook een oude backup voor een USB flash drive die niet meer gebruikt wordt.
Als Secunia dus op basis van dit soort resultaten conclusies gaat trekken, dan gaan ze volgens mij toch een beetje scheef...
Detection Statistics:
10 Applications Detected in Total
0 Insecure Versions Detected
10 Patched Versions Detected
Probeer ik het echter met Enable thorough system inspection , dan krijg ik dit:
Detection Statistics:
17 Applications Detected in Total
2 Insecure Versions Detected
15 Patched Versions Detected
Waarover gaat het? Twee bestanden die in een (oude) backup steken. Eentje is Acrobat Reader 4.0.0.0 voor Pocket PC (!), een andere is een oude (nu ja, "oud") versie van Portable Firefox, nl. versie 3.0.1. Ook een oude backup voor een USB flash drive die niet meer gebruikt wordt.
Als Secunia dus op basis van dit soort resultaten conclusies gaat trekken, dan gaan ze volgens mij toch een beetje scheef...
07-12-2008, 15:33 door
prikkebeen
Als er maar 2% computers met Windows en verwante software veilig is en met de wetenschap dat maar ongeveer de helft van alle malware gedetecteerd wordt, wat is dan nog veilig?
Ook heb ik hier al eens gemeld dat de mensen die deze software installeren en daadwerkelijk gaat scannen of de computer veilig dan wel up to date is maar een heel klein onderdeel van de gebruikers is. Als je dat dan wereldwijd gaat bekijken komen er weer andere statistieken naar voren.
Ik vind dat uiteindelijk de 'veiligheid' voor het toetsenbord zit en dat dit soort onderzoeken niet zo heel veel zeggen.
Misschien is een centrale update server door een commerciële partij op basis van een abonnement dan wel een goede zaak. Men zou dan de geïnstalleerde software daar kunnen aanmelden en een seintje van dat bedrijf krijgen dat er updates zijn. E.e.a. zal echter nog een heel gedoe worden door alle licentie modellen.
Ook heb ik hier al eens gemeld dat de mensen die deze software installeren en daadwerkelijk gaat scannen of de computer veilig dan wel up to date is maar een heel klein onderdeel van de gebruikers is. Als je dat dan wereldwijd gaat bekijken komen er weer andere statistieken naar voren.
Ik vind dat uiteindelijk de 'veiligheid' voor het toetsenbord zit en dat dit soort onderzoeken niet zo heel veel zeggen.
Misschien is een centrale update server door een commerciële partij op basis van een abonnement dan wel een goede zaak. Men zou dan de geïnstalleerde software daar kunnen aanmelden en een seintje van dat bedrijf krijgen dat er updates zijn. E.e.a. zal echter nog een heel gedoe worden door alle licentie modellen.
07-12-2008, 16:13 door
Goeroeboeroe
Door SjaanTsja, dat zou mooi zijn. Maar wordt in Ubuntu dan ook de closed-source software gepatcht (zoals bijv Adobe reader en flash) of alleen het OS zelf en open-source software ?
Want in dat geval zie ik dat nog niet zo snel gebeuren.
Als het in de repositories staat (zeg maar de software-pakhuizen van Ubuntu) wordt het automatisch gepatcht. Dat geldt dus ook voor Adobe Reader en flash.Want in dat geval zie ik dat nog niet zo snel gebeuren.
Als je zelf iets installeert, moet je dat zelf in de gaten houden, maar dat is niet echt vaak nodig vanwege de enorme hoeveelheid aan programma's in de repositories. Als je zelf 'n programma installeert geven veel makers ook nog de mogelijkheid om 'n repository voor alleen dat programma toe te voegen, waarna dat ook automatisch wordt gepatcht.
07-12-2008, 22:34 door
U4iA
Afgelopen woensdag verscheen onderzoek van het Deense Secunia waaruit blijkt dat 98% van alle Windows computers lek is en ook de computer van Microsoft beveiligingstopman Roger Halbheer valt in die categorie. Naar aanleiding van het persbericht besloot de "chief security advisor" de software te installeren en zag tot zijn schrik tien lekke applicaties.
Dus de conclusie moet zijn dat lekke windows machines hoofdzakelijk worden veroorzaakt door 3rd party applicaties. Ik rest my case :)"Volgens Halbheer mist er een centraal update mechanisme voor het distribueren van patches en updates."
Misschien moet meneer inderdaad eens bij Debian gaan kijken. Of Fedora. of Suse. Of FreeBSD. Of OpenBSD. Of...
Allemaal hebben ze centraal updatebeheer voor standaard applicaties.
Afhankelijk van hoe je het installeert heeft OS X het ook. En voorzover ik weet komt het er voor Solaris aan.
Eigenlijk heeft alleen Windows het niet...
08-12-2008, 16:45 door
toor
Door AnoniemHet patchen vind ik één van de grote voordelen van Linux (in mijn geval Ubuntu) ; erg gemakkelijk .
Want niet alleen worden in Ubuntu het besturingssysteem , maar ook de geïnstalleerde programma's , worden met één druk op de knop geupdate.
Voor mensen die niet weten (of gewoon geen zin hebben) hoe ze hun systeem up to date moeten houden is dit Linux update systeem een uitkomst.
Als MS ook zoiets zou maken voor Windows ,zou dat zeker de veiligheid van Windows ten goede komen.
Want niet alleen worden in Ubuntu het besturingssysteem , maar ook de geïnstalleerde programma's , worden met één druk op de knop geupdate.
Voor mensen die niet weten (of gewoon geen zin hebben) hoe ze hun systeem up to date moeten houden is dit Linux update systeem een uitkomst.
Als MS ook zoiets zou maken voor Windows ,zou dat zeker de veiligheid van Windows ten goede komen.
moet je eens VLC installeren. die is zo lek als wat.
het mechanisme van updaten in ubuntu is wel goed en makkelijk, maar het installeert wel vaak oude applicaties (eigenlijk altijd).
'centraal update mechanisme', hallo? in welke grot heeft die kerel gezeten, dat hebben andere OS'en al jaaaaaaren!!
Dit zullen ze dus OOK wel weer gaan jatten (en er dan een patent op durven aanvragen), nouja, okee, een groot aantal minder lekke windows bakken komt ons allemaal ten goede :)
Maar weer legt windows het qua doordachte structuur af op Linux !
Die Roger Halbheer moet z'n oogkleppen eens afzetten en eens ergens anders gaan buurten, kan 'ie nog wat van opsteken!.
Dit zullen ze dus OOK wel weer gaan jatten (en er dan een patent op durven aanvragen), nouja, okee, een groot aantal minder lekke windows bakken komt ons allemaal ten goede :)
Maar weer legt windows het qua doordachte structuur af op Linux !
Die Roger Halbheer moet z'n oogkleppen eens afzetten en eens ergens anders gaan buurten, kan 'ie nog wat van opsteken!.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
