Nieuws

Windows-verbod Google verbijstert experts

woensdag 2 juni 2010, 00:01 door Redactie, 19 reacties

Beveiligingsexperts snappen niets van de beslissing van Google om Windows op de werkvloer te verbieden, sterker nog, ze denken dat het een PR-stunt is. "Apple’s Mac OS X is nou niet bepaald veilig. Als het om gerichte aanvallen gaat, zoals Aurora en het soort waar Google zich zorgen om moet maken, dan is de Mac mogelijk makkelijker te hacken omdat het de anti-exploit maatregelen mist die nu standaard in Windows zitten", aldus Ryan Narraine, security evangelist bij Kaspersky Lab.

Narraine begrijpt niet waarom Google tot de beslissing gekomen is. Zo worden de meeste Google producten gemaakt voor en gebruikt op Windows. "Hoe gaan softwareontwikkelaars producten maken voor een besturingssysteem dat ze niet mogen gebruiken?" Als de zoekgigant een probleem met algemene malware zou hebben, dan zou het volgens de beveiligingsexpert wel zin hebben om sommige afdelingen een alternatief besturingssysteem te laten gebruiken. "Maar als dit de reactie op de Aurora aanvallen is, dan stopt het bedrijf de kop diep in het zand."

Verder klopt het ook niet dat Windows onveiliger zou zijn, zo merkt Narraine op. "Hoe graag we ook Microsoft over security bashen, de nieuwste versies van Windows zijn het moeilijkst te hacken."

Probleem
Ook bij McAfee dat de Aurora-aanval bij Google onderzocht staan ze raar te kijken. Het heeft namelijk niets met technologie of besturingssysteem te maken, zegt David Marcus. De aanvallers mogen dan via een zero-day lek in Internet Explorer zijn binnengekomen, het werkelijke lek is niet besproken. "Mensen waren de zwakke schakel", aldus Marcus. De aanvallers kenden hun slachtoffers, wisten welke software ze gebruikten en wat hun rollen waren.

"De inlichtingen die de aanvallers verzamelden maakten Operatie Aurora tot een succes, niet het betrokken besturingssysteem. Mensen waren het doelwit." Het had dan ook geen enkel verschil gemaakt als Google Linux, Mac OS X of wat voor systeem dan ook had gebruikt. "Alles heeft kwetsbaarheden, met name de gebruikers van die systemen." Als aanvallers zoveel informatie over een aan te vallen bedrijven hebben, dan maakt het gebruikte besturingssysteem helemaal niet meer uit, aldus Marcus. Malware is tenslotte voor elk systeem te ontwikkelen.

Social engineering
"Het maken van de exploit is triviaal. Het enige dat ze moeten doen is het slachtoffer op een link laten klikken. Hoe meer ze over hun doelwit weten, des te waarschijnlijker dat gebruikers erop klikken." Marcus is dan ook duidelijk: "Social engineering en informatievergaring zijn technologie altijd te slim af. Dat is altijd al zo geweest en dat zal altijd zo blijven."

PR-stunt
Randy Abrams van anti-virusbedrijf ESET noemt de reactie van Google een PR-stunt, om te laten zien dat het bedrijf iets aan security doet door Microsoft de schuld te geven. Het is echter het patchmanagement van Google waar het probleem zat. "Wat dachten ze door een gedateerde versie van Internet Explorer 6 te gebruiken."

Ook Abrams is van mening dat bij een gerichte aanval het besturingssysteem geen rol speelt. "Google kan de eigen beveiliging dan ook veel meer verbeteren door de huidige versies van browsers te gebruiken en een beter patchmanagement toe te passen."

Spyware in Mac OS X screensavers verstopt

IE6 bijna uitgestorven, Google Chrome groeit

Reacties (19)

02-06-2010, 00:47 door Anoniem

Achja, lekker hysteria dit weer. Alhoewel wil ik toch een MacBook Pro, gratis. Mij zie je niet betalen voor een merknaam en een OS.

02-06-2010, 01:12 door Anoniem

"Hoe gaan softwareontwikkelaars producten maken voor een besturingssysteem dat ze niet mogen gebruiken?"
bij uitzondering mag het wel.. is ook al duidelijk eerder gezegd... de 'experts' moeten eerst luisteren en dan pas blaten.

"Hoe graag we ook Microsoft over security bashen, de nieuwste versies van Windows zijn het moeilijkst te hacken."
says who???

"Het enige dat ze moeten doen is het slachtoffer op een link laten klikken. "
rrrright... yum weigert bijvoorbeeld keihard unsigned packages te installeren en blijkbaar bij windows is 1 klik voldoende om je te laten hacken.. pfff

"Social engineering en informatievergaring zijn technologie altijd te slim af. Dat is altijd al zo geweest en dat zal altijd zo blijven."
oohh.. dus het proberen te beveiligen is sowieso onbegonnen werk? maw, mcafee haalt zijn eigen bestaans recht ook maar even onderuit? geestig...

"Randy Abrams van anti-virusbedrijf ESET noemt de reactie van Google een PR-stunt, om te laten zien dat het bedrijf iets aan security doet door Microsoft de schuld te geven"
errr.. was het MS niet die al jaren duur betaalde modder gooi campagnes voert tegen.. linux?
koekje van eigen deeg, goed goed kauwen zodat het gelijkmatig in je bloed komp.

"Google kan de eigen beveiliging dan ook veel meer verbeteren door de huidige versies van browsers te gebruiken en een beter patchmanagement toe te passen."
wie zegt dat google dit niet gaat doen dan ;)

hilarisch dit!

alle anti-virus experts opeens in rep en roer omdat google het heeft gehad met microsoft.

maar goed, ik zou waarschijnlijk ook slapeloze nachten krijgen als ik een vermogen verdiende aan de lekken in microsoft producten en nu opeens een groot bedrijf als google de zoveelste spijker in de doodskist van MS zie slaan.

dat google gaat ooit nog eens heel groot worden, mar my words ;)

the king is dead! long live the king!

02-06-2010, 01:37 door Necrowizard

Als het een stunt was hadden ze beter kunnen zeggen dat ze alleen Chrome OS mogen gebruiken, omdat dat dan zogenaamd veiliger is dan windows

02-06-2010, 08:32 door Anoniem

"Wat dachten ze door een gedateerde versie van Internet Explorer 6 te gebruiken."

Onzin. Het aurora lek was een onbekend lek, dus zelfs als ze op en top up2date waren, waren ze nog vuln hiervoor.

02-06-2010, 08:51 door Anoniem

Wat een debiel, die "expert" van Kaspersky.
Je moet wel behoorlijk dom zijn om bij Google producten alleen maar aan desktop-client applicaties te denken.
Dan zit je echt nog helemaal in een legacy PC model.

Het overgrote deel van Google's producten bestaat uit een search engine, gmail,gtalk, google apps, google maps en een ad-delivery systeem. Dat draait niet op Windows en wordt er niet op ontwikkeld.
Vergeleken daarbij zijn de Google PC desktop applicaties erg marginaal, zelfs als je javascript meerekent.

Als er één bedrijf is wat Microsoft desktops vrijwel totaal de deur uit kan doen, is het wel Google.
En een heel terechte keuze met alleen maar voordelen.
Zowel als PR statement (producten van de concurrentie gebruiken is gewoon een zwaktebod. Ballmer kan ook geen iPhone gebruiken), en de security wordt er zeker niet slechter op.
Het enige wat dom *zou* zijn is als Google zou denken dat ze met Linux of Mac desktops helemaal niets meer aan client security zouden hoeven doen.

Klinkt haast als een (fysiek)beveiligings bedrijf uit Kaapstad dat vertelt dat je in Tokyo ook streetcrime hebt.

02-06-2010, 09:43 door Sokolum

Laat Google zich nou bezig houden met ontwikkelen van search engines en het geven van security adviezen moeten over laten aan specialisten. Google is geen security specialist. (anders waren ze ook niet ge-hackt in China). Het lijkt erop dat ze geen beleid kunnen voeren voor veilig omgaan met Windows desktops, jammer voor ze. Dus dit verteld meer over de kwaliteiten wat ze niet in huis hebben. Dat ze verkondigen dat Apple Mac OS X als een veiliger OS is, geeft al aan wat hun kennis niveau is. Blijkbaar geen.

Dan mag jij je ook afvragen of Google Chrome dan een goede keus is voor een browser op je PC, ik ben van mening niet meer. Wanneer een bedrijf een OS verbiedt, hoe testen zij dan hun software?

Ach, hoe dan ook, ze verliezen aanzien.

02-06-2010, 10:10 door [Account Verwijderd]

[Verwijderd]

02-06-2010, 10:36 door Sith Warrior

Ik kan het niet meer eens zijn dan met de commentaren van de beveiliging experts. Zeer eens zelfs.

02-06-2010, 10:44 door Anoniem

Door Anoniem: Het overgrote deel van Google's producten bestaat uit een search engine, gmail,gtalk, google apps, google maps en een ad-delivery systeem. Dat draait niet op Windows en wordt er niet op ontwikkeld.
Vergeleken daarbij zijn de Google PC desktop applicaties erg marginaal, zelfs als je javascript meerekent.

Als er één bedrijf is wat Microsoft desktops vrijwel totaal de deur uit kan doen, is het wel Google.

Aangezien je de browser producten moet testen op hun gedrag in de omgeving van de gebruiker, moet je voor testdoeleinden alles hebben. Dus Windows machines met alle denkbare browsers en idem voor Apple, Linux (alle distros enz.) maar ook alle te supporten smartphones, tablets en wat er nog meer komt.

Je kunt daar uiteraard VM's voor gebruiken, maar anders kun je dingen bouwen die niet werken zoals bedoeld. Wel kun je stellen, dat je alleen op de laatste 2 versies werkt, met alle servicepacks en patches. Iemand die niet bijblijft heeft dan pech. (kan dan leuk worden want ik ken mensen die rustig met W2K pro doorgaan, want dat is vertrouwd en de pc doet het nog....)

02-06-2010, 10:58 door Dev_Null

Wij van Google advizeren .... Google.. want we gebruiken het zelf ook :-P

02-06-2010, 11:11 door Silver

Hmm, ik ben het niet per definitie eens met deze experts. Tenslotte weten zij eenvoudigweg niet genoeg over wat er zich binnen Google afspeelt. Dat Google MS buiten de deur zet zal inderdaad meer in de marketing hoek zitten dan vanuit het security perspectief. En dat het ze ook nog eens geld scheelt zal ook de zaken wel een zet gegeven hebben.

Zoals eerder al aangehaald zijn de Google applicaties doorgaans niet voor MS producten ontwikkeld maar meer georienteerd op de browser, en die zijn OS-onafhankelijk (even de IE-integratie met Windows daargelaten). Ze kunnen dus prima developen zonder zelf Windows te draaien. Het is overigens niet eens gezegd dat ze HELEMAAL geen Windows systemen meer hebben, het kan zomaar zijn dat ze wel ergens Windows testmachines hebben staan. Dit zullen dan die machines zijn die de uitzondering gekregen hebben waar gisteren over bericht werd.

Ik denk niet dat Google zich nu veilig waant, en ik heb ze dat ook niet horen zeggen. Ongeacht wat voor OS je draait - security blijft een issue. Alleen een goed patchmanagement is niet genoeg, het zal je niet beschermen tegen 0day's. Een defense-in-depth strategie is nodig en die zullen ze ook vast wel hebben. Social engineering is zeker OOK een aspect hiervan, en ze zullen ook best wel hun mensen proberen wijzer te maken in dit aspect. Maar ja, er zullen altijd zwakke plekken blijven, en je kunt onmogelijk altijd AL je grenzen bewaken.

Men vergeet dat het Aurora offensief ook heel goed wel eens een zogeheten state-sponsored aanval kunnen zijn, ingezet door de Chinese overheid. In dat geval ben je als privaat bedrijf nagenoeg kansloos, zeker als de overheid in kwestie China is. Die zijn echt vrij ver met dit soort dingen, en hebben aanzienlijk meer resources dan Google.

02-06-2010, 11:32 door Anoniem

die 'experts' zien de bui al hangen, straks zijn ze hun baan kwijt ;)

02-06-2010, 11:47 door Anoniem

"alle anti-virus experts opeens in rep en roer omdat google het heeft gehad met microsoft. maar goed, ik zou waarschijnlijk ook slapeloze nachten krijgen als ik een vermogen verdiende aan de lekken in microsoft producten en nu opeens een groot bedrijf als google de zoveelste spijker in de doodskist van MS zie slaan."

Men is in 'rep en roer' omdat de argumenten vanuit beveiligingsoptiek nergens op slaan. Marketingtechnisch gezien is het echter een goede stap van Google. Verder zijn mijn inkomsten als beveiliger niet afhankelijk van de vraag welk OS we gebruiken op mijn werk ;)

02-06-2010, 14:10 door Anoniem

Je maakt als bedrijf een OS... dan gebruik je toch ook dat OS intern? Behalve wanneer het echt nodig is om een andere OS te gebruiken.

Argumentatie van Google lijkt meer op propaganda.

02-06-2010, 14:35 door Anoniem

Ik snap de redenering van Google wel. Ook al is Windows zelf al behoorlijk veilig, Windows alleen is echter niet voldoende voor een bedrijf om te gebruiken. Veel gebruikers zullen allerlei software op hun systemen willen installeren en vaak zitten daar nou net de grotere beveiligings-lekken. Adobe Acrobat is zomaar een voorbeeld van wat extra onveilige software die je op een Windows PC kunt tegenkomen. Zelfs antivirus-producten zijn lang niet allemaal zonder exploits en fouten. En dan moet ik ook nog terugdenken aan de Sony rootkit die enkele jaren geleden iedere computer onveilig maakte waarop de gebruiker even naar muziek op wilde luisteren.
Daarnaast maakt Windows gebruik van drivers die door derden worden aangeleverd. Drivers voor allerlei soorten hardware, die meestal voor weinig geld in elkaar gezet moeten worden omdat de kosten voor het ontwikkelen van de hardware zelf al hoog genoeg zijn en men de klant niet met extreem dure software wil opzadelen. Gelukkig maakt steeds meer hardware gebruik van vaste standaarden maar mijn TomTom en een andere GPS logger apparaatje heeft zijn eigen software waar ik toch wel enige twijfels bij heb als het gaat om de degelijkheid ervan.

02-06-2010, 15:03 door Anoniem

Door Anoniem:

"Wat dachten ze door een gedateerde versie van Internet Explorer 6 te gebruiken."

Onzin. Het aurora lek was een onbekend lek, dus zelfs als ze op en top up2date waren, waren ze nog vuln hiervoor.

Omdat Intel processoren te ligt zijn voor Windows 7 is support voor MSIE 6 uitgerekt zodat support op XP en MSIE tot 13 juli 2010 loopt....

MSIE is dus een actueel product.

02-06-2010, 22:40 door KwukDuck

Laat me raden... Windows experts...? Microsoft mensen...?

03-06-2010, 01:05 door Anoniem

Niet zo vreemd dit. De meeste security bedrijven richten zich op de Microsoft markt. Dat is immers de grootste markt en daar valt dan ook het meeste te verdienen. Als bedrijven over gaan stappen op andere OS-en krimpt die markt en dus waarschijnlijk ook hun omzet. Er zijn maar twee manieren om die krimp tegen te gaan;
1) Zorgen dat bedrijven toch met Microsoft producten blijven werken. Dus een marketing campagne voeren met artikelen zoals het bovenstaande. Er zullen er wel meer komen (Ah, artikele nummer twee staat al op deze site)
2) Producten voor de andere OS-en gaan maken. Maar dat kost tijd en geld.

03-06-2010, 09:19 door SirDice

Door Anoniem: Omdat Intel processoren te ligt zijn voor Windows 7 is support voor MSIE 6 uitgerekt zodat support op XP en MSIE tot 13 juli 2010 loopt....

Die netbookjes zijn gewoon te 'licht'. En dan bedoelt men een krappe, mobile, processor, weinig geheugen, beperkte schijfruimte etc. Dat heeft geen reet met Intel processoren ansich te maken.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer