Nieuws
image

"Microsoft geeft security eindelijk voorrang"

dinsdag 17 november 2009, 13:52 door Redactie, 8 reacties

Microsoft kent een lange geschiedenis waarin het functionaliteit en gebruiksgemak boven beveiliging stelde, maar dit jaar heeft de softwaregigant twee stappen genomen om beveiliging de juiste prioriteit te geven. De eerste was het uitbrengen van Internet Explorer 8 voor Windows XP, een veel veiligere browser ten opzichte van IE 6. "Nog veel indrukwekkender is dat Microsoft een patch beschikbaar maakte voor het uitschakelen van AutoRun op schrijfbare media, zoals USB-sticks en netwerk mappen", zegt Josh Phillips in de nieuwste uitgave van het gratis security magazine "(IN)Secure.

Volgens Phillips roepen security professionals al jaren om deze feature "en eindelijk kregen we hem". Met name voor bedrijven die nog steeds Windows XP draaien, en dat zijn er nogal wat, noemt hij dit een overwinning. USB-sticks zijn door het wijdverspreide gebruik inmiddels een populaire aanvalsvector voor virusschrijvers.

Veilige software
Wat betreft het ontwikkelen van veilige code door Microsoft is dat een probleem op zichzelf. "De meeste mensen, waaronder software ontwikkelaars, hebben geen idee hoeveel moeite het kost om echt veilige software te bouwen. Software ontwikkeling is in het algemeen erg lastig. Er is een reden waarom de meeste projecten het budget overschrijven en te laat zijn, en dan gaat het alleen om de kernfunctionaliteit." Beveiliging wordt door de meeste ontwikkelaars niet eens meegenomen en pas later toegevoegd. "Het wordt dan ook eenvoudiger om te begrijpen waarom zelfs organisaties als Microsoft regelmatig met beveiligingslekken te maken krijgen."

In het artikel blikt Phillips terug op de beveiligingslekken van het afgelopen jaar en hoe virusschrijvers hierop inspeelde. Hij concludeert dat het "security verhaal" voor Microsoft steeds beter wordt. "Toch lijkt dit geen effect op de mogelijkheid van virusschrijvers te hebben om nieuwe manieren te vinden om systemen te besmetten."

(IN)Secure 23 bevat tevens een verslag van de RSA Conferentie in Londen, een interview met Didier Stevens over kwaadaardige PDF-bestanden, het beschermen van browsers, het wachtwoordgedrag van gebruikers en nog veel meer onderwerpen.

Reacties (8)
17-11-2009, 14:16 door MrBil
"De meeste mensen, waaronder software ontwikkelaars, hebben geen idee hoeveel moeite het kost om echt veilige software te bouwen."

Dus? Een echte software ontwikkelaar die bouwt software waar geen fouten/lekken in zitten.
17-11-2009, 14:21 door Anoniem
"Dus? Een echte software ontwikkelaar die bouwt software waar geen fouten/lekken in zitten."

Tja, vandaar dat zulke ontwikkelaars praktisch niet bestaan. Maar het is natuurlijk gemakkelijk om zoiets te roepen, ook al heeft het met de realiteit weinig van doen.
17-11-2009, 14:52 door Anoniem
Door MrBil: "De meeste mensen, waaronder software ontwikkelaars, hebben geen idee hoeveel moeite het kost om echt veilige software te bouwen."

Dus? Een echte software ontwikkelaar die bouwt software waar geen fouten/lekken in zitten.

onveilige software wordt niet alleen veroorzaakt door fouten of lekken...
17-11-2009, 14:52 door Anoniem
Als een functie anders wordt gebruikt dan het originele doel...
autorun is bijvoorbeeld ontworpen om zodra je een cd in je drive stopt het installatie programma start....

dat een virus daar ook gebruik kan maken, was destijds niet meegenomen, aangezien de functie
oorspronkelijk was ontworden voor read-only media zoals een cd-rom, en niet voor beschrijfbare
media zoals usb sticks
17-11-2009, 16:05 door SirDice
In het artikel blikt Phillips terug op de beveiligingslekken van het afgelopen jaar en hoe virusschrijvers hierop inspeelde. Hij concludeert dat het "security verhaal" voor Microsoft steeds beter wordt. "Toch lijkt dit geen effect op de mogelijkheid van virusschrijvers te hebben om nieuwe manieren te vinden om systemen te besmetten."
Dat komt omdat de meeste malware geen bugs in het OS of een programma gebruikt. Social engineering is geen technisch probleem en kan dus ook niet opgelost worden met een patch.
17-11-2009, 23:25 door Anoniem
Door Anoniem:
Door MrBil: "De meeste mensen, waaronder software ontwikkelaars, hebben geen idee hoeveel moeite het kost om echt veilige software te bouwen."

Dus? Een echte software ontwikkelaar die bouwt software waar geen fouten/lekken in zitten.

onveilige software wordt niet alleen veroorzaakt door fouten of lekken...
^noob
18-11-2009, 00:32 door Bitwiper
Door Anoniem: Als een functie anders wordt gebruikt dan het originele doel...
autorun is bijvoorbeeld ontworpen om zodra je een cd in je drive stopt het installatie programma start....

dat een virus daar ook gebruik kan maken, was destijds niet meegenomen, aangezien de functie
oorspronkelijk was ontworden voor read-only media zoals een cd-rom, en niet voor beschrijfbare
media zoals usb sticks
Welnee. Een bitje om AutoRun voor removable drives te disablen bestond al jaren, maar is door Microsoft met de introductie van XP SP2 bewust uit gezet. Die standaard instelling is overgenomen in Vista, Server 2008 en XP SP3 (in W2K, W2K3, XP en XP SP1 was Autorun disabled voor removable drives). Het aanzetten van AutoRun voor removable drives is dus een bewuste keuze van Microsoft geweest, mogelijk op verzoek van fabrikanten van "slimme" USB sticks zoals U3 (terwijl zij dat niet nodig hebben vanwege een CDROM-formatted partitie op die sticks).

Virussen op removable media bestaan overigens al sinds 360KB 5,25" floppies, dus dat risico "niet meenemen" is wel heel erg naïef. Het is duidelijk dat hier usability voorrang heeft gekregen boven security - in de op dat moment "most secure Windows ever", XP SP2.

Wel bestonden er onbedoelde bugs: voor netwerkdrives staat het bitje aan wat automatisch uitvoeren van Autorun.inf zou moeten voorkomen, maar dat werkte geheel niet. En als je het bitje voor removable drives aanzette dan waren er omstandigheden waarbij Autorun.inf toch werd uitgevoerd. Voor beide problemen heeft Microsoft een patch gemaakt, maar die is in eerste instantie alleen voor Vista en W2K8 meegenomen in een automatische update (zie de FAQ betreffende CVE-2008-0951 in http://www.microsoft.com/technet/security/bulletin/ms08-038.mspx).

Mijn klaagzang over het feit dat die patch alleen voor Vista en W2K8 via automatische updates werd verspreid (zie http://www.security.nl/artikel/26322/1/Microsoft_schuldig_aan_verspreiden_wormen_via_XP_netwerkshares.html) en mijn verwijzing daarnaar vanuit http://www.computable.nl/artikel/ict_topics/beheer/2843723/1277800/patch-is-niet-genoeg-tegen-windowsworm.html waren er de aanleiding voor dat Ruud de Jonge van Microsoft NL ervoor gezorgd heeft dat die patch alsnog voor W2K, XP SP2, XP SP3 en W2K3 via automatische updates is verspreid (waarvoor mijn dank!). Wel flauw natuurlijk is dat Microsoft het in http://www.microsoft.com/technet/security/advisory/967940.mspx over een "non-security update" heeft.

Die automatische update (voor details zie http://support.microsoft.com/kb/967715) zorgt ervoor dat:
- autorun op netwerkshares echt niet meer werkt (de default NoDriveTypeAutoRun registerwaarde wordt nu correct toegepast)
- autorun op USB-sticks en vaste schijven betrouwbaar kan worden uitgezet door het wijzigen van de NoDriveTypeAutoRun registerwaarde (handmatig of middels policies).

Let op: er is geen enkele update die autorun van beschrijfbare USB-sticks onder XP SP2, XP SP3, Vista en W2K8 uitzet, het enige dat we als gebruikers bereikt hebben is dat je dit handmatig en betrouwbaar uit kunt zetten!

Pas sinds Windows 7 wordt Autorun by default uitsluitend nog uitgevoerd op drives die herkend worden als CDROM (volgens http://en.wikipedia.org/wiki/Autorun). M.i. heeft Microsoft dus wel het licht gezien, echter niet door bovengenoemde patches, maar door het serieus weer veilig maken van Windows met versie 7.
19-11-2009, 09:54 door Anoniem
Programmeren blijft mensenwerk en waar mensen zijn worden fouten gemaakt. Dit zal altijd zo blijven.

Software is per definitie onveilig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure