Firesheep-ontwikkelaar woest op Microsoft
Volgens sommige berichten zou Microsoft Security Essentials de veelbesproken Firefox plugin Firesheep als een bedreiging zien, dit tot grote woede van de ontwikkelaar. Hoewel dit nog niet bevestigd is, haalt Eric Butler hard uit naar iedereen die waarschuwt dat het gebruik van de tool illegaal en strafbaar zou zijn. "Ik wil hier duidelijk over zijn. Het gaat niemand wat aan om je te vertellen welke software je wel en niet op je eigen computer mag draaien. Zoals alle tools, is Firesheep voor verschillende dingen te gebruiken." Het gaat dan om het verhogen van het bewustzijn. Het aanvallen van andere gebruikers met de tool is volgens Butler niet de bedoeling. Ook de suggestie van sommigen dat Firesheep alleen hiervoor ontwikkeld is, schuift Butler ter zijde.
Ook richt hij zijn pijlen op Microsoft, dat de tool als een dreiging zou beschouwen, ondanks dat de Firefox plugin geen risico voor de integriteit van het systeem vormt. "Door virusscanners te installeren, geef je een derde partij de mogelijkheid om bestanden van je systeem te verwijderen, erop vertrouwend dat alleen kwaadaardige code wordt aangepakt. Microsoft en andere anti-virusbedrijven misbruiken dit vertrouwen en bepalen wat jij wel of niet met je computer zou moeten doen. Dit is gevaarlijk, maar helaas niet bijzonder."
Censuur
Firesheep zou juist voor een discussie over de veiligheid van het internet hebben gezorgd. "Censuur biedt geen oplossing voor de onderliggende problemen, en veroorzaakt alleen maar verdere problemen." Butler merkt op dat voor veel mensen computercode een vorm van vrijheid van meningsuiting is, en dat die vrijheid beschermd moet blijven. "Als Microsoft beveiliging door censuur wil verbeteren, dan zou het beter zijn om de onveilige websites te blokkeren die in de eerste plaats gebruikersinformatie blootstellen."
En Butler gaat nog verder: "Mozilla begrijpt dat het spelen van dictator niet hun rol is en biedt informatie over nieuwe features die in de volgende versies van Firefox zitten die bedrijven kunnen gebruiken om hun gebruikers te beschermen."
Reacties (27)
04-11-2010, 13:57 door
[Account Verwijderd]
[Verwijderd]
Als je niet wil dat MS jou vertelt wat je wel en niet mag draaien, dan installeer je die update toch niet?
Mocht je toch FireSheep willen draaien kan je vast wel een exception maken in Security Essentials (nog geen ervaring helaas).
Mocht je toch FireSheep willen draaien kan je vast wel een exception maken in Security Essentials (nog geen ervaring helaas).
Prima besluit van Microsoft, Butler schrijft rare tools die de boodschap echt niet bij Jan met de Pet overbrengen.
Bovendien kies ik toch ook voor Microsoft, is geen censuur. Dat de maker van het OS een belangrijke speler is bij het bepalen welke software schadelijk is lijkt me erg logisch.
Bovendien kies ik toch ook voor Microsoft, is geen censuur. Dat de maker van het OS een belangrijke speler is bij het bepalen welke software schadelijk is lijkt me erg logisch.
04-11-2010, 16:01 door
Maki
Door Peter V:
Ik zet af en toe echt vraagtekens bij jouw commentaar.Zoals alle tools, is Firesheep voor verschillende dingen te gebruiken." Het gaat dan om het verhogen van het bewustzijn.
...of een streepje coke insnuiven. Dat verhoogt je bewustzijn ook aanzienlijk (zeggen ze).Inderdaad vraagtekens.
Hij bedoeld natuurlijk een lijntje coke... ;-)
Ok, back to topic.
Ben er zelf niet zo rouwig om dat Firesheep als "niet gewenst" wordt beschouwd door Microsoft.
Hij bedoeld natuurlijk een lijntje coke... ;-)
Ok, back to topic.
Ben er zelf niet zo rouwig om dat Firesheep als "niet gewenst" wordt beschouwd door Microsoft.
"Ik wil hier duidelijk over zijn. Het gaat niemand wat aan om je te vertellen welke software je wel en niet op je eigen computer mag draaien."
Hmm, dat zou je denken, maar onlangs zaten mensen hier te klagen dat Google niet versleutelde data over een wireless verbinding zomaar op een hardeschijf opsloeg. En dat dat slecht was en illegaal.
Hier heb je een programma dat niet versleutelde data ontvangt, analyseert en vervolgens gebruikt om sessies van anderen over te nemen, en mensen beweren dat dat wel mag?
Tuurlijk, het programma zelf is waarschijnlijk ok, je mag op de computer draaien wat je wil. Maar zodra je dingen gaat ontvangen van de ether wordt het een ander verhaal en mag het waarschijnlijk ook gewoon niet.
Zelf vind ik dat ze allebei goed zijn, maar de wet is niet logisch (omdat de wereld nou eenmaal niet logisch in elkaar zit).
04-11-2010, 16:27 door
cjkos
Het verschil tussen Microsoft en Firefox is iets groter dan alleen het spelen van dictatortje.
Maar dat heeft in dit geval vooral te maken met het feit dat Microsoft hier ook leverancier is van een OS en Firefox niet.
Alleen om deze quote stelt deze mijnheer zich al buiten mijn wereldje van door mij vertrouwde personen.
Alsof zijn plug-in een wereld van verschil maakt voor de surfervaring.
Maar dat heeft in dit geval vooral te maken met het feit dat Microsoft hier ook leverancier is van een OS en Firefox niet.
Het gaat niemand wat aan om je te vertellen welke software je wel en niet op je eigen computer mag draaien.
Alleen om deze quote stelt deze mijnheer zich al buiten mijn wereldje van door mij vertrouwde personen.
Alsof zijn plug-in een wereld van verschil maakt voor de surfervaring.
04-11-2010, 16:46 door
Mysterio
Ik ben het wel met Peter V eens. Een plug-in uitbrengen die misbruik/gebruik maakt van lekken en dus aanvallen in de hand werkt, is niet een verhoging van het bewustzijn. Dat is zoals jongetjes laten zien hoe je een baksteen door een ruit kan gooien om een laptop te pakken en ze vervolgens een emmer bakstenen geven.
Het is niet bepaald nieuw dat virusscanners alarm slaan als ze sommige 'security' en 'remote-admin' tools tegenkomen. L0phtCrack, Cain&Abel, sommige VNC implementaties. Over het algemeen de meer dubieuse tools.
Door Mysterio: Ik ben het wel met Peter V eens. Een plug-in uitbrengen die misbruik/gebruik maakt van lekken en dus aanvallen in de hand werkt, is niet een verhoging van het bewustzijn. Dat is zoals jongetjes laten zien hoe je een baksteen door een ruit kan gooien om een laptop te pakken en ze vervolgens een emmer bakstenen geven.
Huhmmm.... wat zou dan wel het bewustzijn verhogen denk je? Ik ben het niet met je eens en begrijp je metafoor niet.
Denk je echt dat "jongetjes" zelf niet kunnen bedenken dat je met een baksteen de ruit kunt ingooien om de laptop te pakken? Security true obsucurity! Mijn huissleutel ligt onder de mat... niemand die daar naar kijkt behalve degene die hem nodig zou hebben.
Ik ben van mening dat dit wel degelijk bijdraagt aan security. Firesheep laat hier terecht zien de valkuilen zijn en hoe deze te compromitteren zijn. Druk wordt opgevoerd tot verbeteren van beveiligingsmaatregelen met als uiteindelijk resultaat een "veiligere" omgeving.
just my to pence
Ray.
Gaan ze nu nmap ook verbieden ? ;-)
Echt ik vind het belachelijk.
We moeten de beveiliging opschroeven van wireless, niet de tools verbieden die het mogelijk maakt om mensen in te lichten...
gaan we netwerk printers straks ook verbieden omdat het mogelijk is via de onbeveiligde wireless een bericht uit te laten printen dat iemand zijn wireless niet beveiligd heeft ?
Maar mensen maakt het blijkbaar weinig uit, voorbeeldje van Firesheep in het veld:
http://technologysufficientlyadvanced.blogspot.com/2010/10/herding-firesheep-in-new-york-city.html
Echt ik vind het belachelijk.
We moeten de beveiliging opschroeven van wireless, niet de tools verbieden die het mogelijk maakt om mensen in te lichten...
gaan we netwerk printers straks ook verbieden omdat het mogelijk is via de onbeveiligde wireless een bericht uit te laten printen dat iemand zijn wireless niet beveiligd heeft ?
Maar mensen maakt het blijkbaar weinig uit, voorbeeldje van Firesheep in het veld:
http://technologysufficientlyadvanced.blogspot.com/2010/10/herding-firesheep-in-new-york-city.html
M$ vindt alles wat ze niet zelf gemaakt hebben een bedreiging. Niks nieuws dus...
Door Anoniem: Prima besluit van Microsoft, Butler schrijft rare tools die de boodschap echt niet bij Jan met de Pet overbrengen.
Misschien niet bij jan met de pet, maar wel bij een aantal website ontwikkelaars die ik ken en die tot voor kort hun schouders ophaalden over dit probleem.De discussie lijkt te gaan over de vraag of Microsoft Firesheep mag verbieden. Maar de discussie moet eigenlijk gaan over de vraag of Microsoft een willekeurig porgramma mag verbieden dat door de gebruiker zelf is geinstalleerd.
Ik ben dus wel benieuwd naar de mening van iedereen hierboven als we firesheep vervangen door no-script. Want ook dat programma is een bedreiging voor websites, namelijk de sites die drijven op de opbrengsten van reclames die vaak niet getoond worden vanwege het gebruik van no-script.
Peter
Ik ben dus wel benieuwd naar de mening van iedereen hierboven als we firesheep vervangen door no-script. Want ook dat programma is een bedreiging voor websites, namelijk de sites die drijven op de opbrengsten van reclames die vaak niet getoond worden vanwege het gebruik van no-script.
Peter
Door Anoniem:
We moeten de beveiliging opschroeven van wireless, niet de tools verbieden die het mogelijk maakt om mensen in te lichten...
We moeten de beveiliging opschroeven van wireless, niet de tools verbieden die het mogelijk maakt om mensen in te lichten...
Dit zeker. De huidige wetgeving stamt uit een tijd dat versleuteling van verkeer erg ingewikkeld was (analoge signalen) dus werd het verkeer op andere manier beschermd (verbeiden af te luisteren). Inmiddels is versleutelen helemaal niet meer moeilijk en moeten ze dat gewoon verplicht stellen.
Ik schat dat de wetgeving veranderen wel 20-30 jaar zal duren.
Daarmee praat je wat hier gebeurt niet goed.
05-11-2010, 09:37 door
Mysterio
Laat ik het zo zeggen dat het niet wenselijk is wanneer een expert laat zien hoe je een beveiliging kunt omzeilen (van Facebook tot een VW Golf autoslot) en de gereedschappen die hij daarvoor gebruikt weggeeft. Ja, het verhoogt het gevoel van onveiligheid bij gebruikers, ja, het zal er voor zorgen dat de Facebook en VW aanbieders hun producen beter gaan beveiligen. Maar het is zeer ongewenst en zeer onfatsoenlijk want onschuldige gebruikers of autobezitters worden hier het dupe van.
Beveiliging afdwingen door onschuldigen te duperen is altijd fout. Het doel heiligt niet de middelen. (of je gebruikt het om de gegevens van de directie van Facebook te stelen of de Golf van de directeur van VW, dan bereik je zeker je doel)
Dat Microsoft hier tegen optreedt vind ik niet alleen terecht, maar ook een voorbeeld van hoe beveiligingssoftware de gebruiker moet beschermen tegen de cyberterroristen van deze tijd, die hun 'hoger doel' nastreven over de ruggen van burgers.
Beveiliging afdwingen door onschuldigen te duperen is altijd fout. Het doel heiligt niet de middelen. (of je gebruikt het om de gegevens van de directie van Facebook te stelen of de Golf van de directeur van VW, dan bereik je zeker je doel)
Dat Microsoft hier tegen optreedt vind ik niet alleen terecht, maar ook een voorbeeld van hoe beveiligingssoftware de gebruiker moet beschermen tegen de cyberterroristen van deze tijd, die hun 'hoger doel' nastreven over de ruggen van burgers.
"Volgens sommige berichten zou Microsoft Security Essentials de veelbesproken Firefox plugin Firesheep als een bedreiging zien, dit tot grote woede van de ontwikkelaar."
Vrij logisch, het is dan ook een bedreiging. En zoals anderen terecht stellen, je kunt een exclusion maken zodat de plugin met rust wordt gelaten. Wanneer mensen dit soort tools echter binnen een bedrijfsnetwerk bijvoorbeeld installeren, dan lijkt mij het verwijderen ook volstrekt gewenst.
@ Mysterio :
Hoe wil jij de beveiliging testen van een organisatie testen, zonder te beschikken over informatie en middelen om dit te doen ? Het feit dat zaken gepubliceerd worden dwingt fabrikanten tot aktie, en geeft auditors / pentesters en dergelijke de mogelijkheid om goede checks uit te voeren om de beveiliging te waarborgen. Zonder disclosure zouden fabrikanten weinig doen, en de zwakheden zouden nog steeds gevonden en misbruikt worden.
Vrij logisch, het is dan ook een bedreiging. En zoals anderen terecht stellen, je kunt een exclusion maken zodat de plugin met rust wordt gelaten. Wanneer mensen dit soort tools echter binnen een bedrijfsnetwerk bijvoorbeeld installeren, dan lijkt mij het verwijderen ook volstrekt gewenst.
@ Mysterio :
Hoe wil jij de beveiliging testen van een organisatie testen, zonder te beschikken over informatie en middelen om dit te doen ? Het feit dat zaken gepubliceerd worden dwingt fabrikanten tot aktie, en geeft auditors / pentesters en dergelijke de mogelijkheid om goede checks uit te voeren om de beveiliging te waarborgen. Zonder disclosure zouden fabrikanten weinig doen, en de zwakheden zouden nog steeds gevonden en misbruikt worden.
05-11-2010, 10:30 door
Mysterio
Er is nog altijd een verschil tussen het openbaar maken dat er ergens makkelijk misbruik van gemaakt kan worden en het daadwerkelijk verstrekken van de hiervoor benodigde gereedschappen aan Jan en Alleman. Ik ben het met je eens dat fabrikanten te vaak lui en te traag zijn in het ontwikkelen van een antwoord op de beveiligingslekken. Dan nog is het niet goed om een tool uit te brengen die hier kinderlijk eenvoudig misbruik van maakt.
Er zijn bedrijven genoeg die jouw beveiliging op een professionele en privacy respecterende manier kunnen testen. Daar heb je geen vrije wapenverkoop voor nodig. Jouw doelen kunnen puur en rein zijn (haha) en gericht op het testen van de sites waar jij je gegevens aan hebt toevertrouwt. En ik snap dat inmiddels de behoefte er ook wel is om bedrijven hierin te testen. Maar dan nog vind ik het verwerpelijk om de gevonden lekken om te smelten tot een inbrekers gereedschap en dat vrij te verstrekken.
Er zijn bedrijven genoeg die jouw beveiliging op een professionele en privacy respecterende manier kunnen testen. Daar heb je geen vrije wapenverkoop voor nodig. Jouw doelen kunnen puur en rein zijn (haha) en gericht op het testen van de sites waar jij je gegevens aan hebt toevertrouwt. En ik snap dat inmiddels de behoefte er ook wel is om bedrijven hierin te testen. Maar dan nog vind ik het verwerpelijk om de gevonden lekken om te smelten tot een inbrekers gereedschap en dat vrij te verstrekken.
Door Anoniem: De discussie lijkt te gaan over de vraag of Microsoft Firesheep mag verbieden. Maar de discussie moet eigenlijk gaan over de vraag of Microsoft een willekeurig porgramma mag verbieden dat door de gebruiker zelf is geinstalleerd.
Ik ben dus wel benieuwd naar de mening van iedereen hierboven als we firesheep vervangen door no-script. Want ook dat programma is een bedreiging voor websites, namelijk de sites die drijven op de opbrengsten van reclames die vaak niet getoond worden vanwege het gebruik van no-script.
Peter
Ik ben dus wel benieuwd naar de mening van iedereen hierboven als we firesheep vervangen door no-script. Want ook dat programma is een bedreiging voor websites, namelijk de sites die drijven op de opbrengsten van reclames die vaak niet getoond worden vanwege het gebruik van no-script.
Peter
De vraag kan zelfs nog verder worden geglobaliseerd: De discussie moet eigenlijk gaan over de vraag of een willekeurige softwareleverancier d.m.v. haar product een ander willekeurig porgramma mag verbieden dat door de gebruiker zelf is geinstalleerd.
En met "zelf" wordt bedoeld: bewust eigenhandig en interactief.
05-11-2010, 13:10 door
cjkos
Door Anoniem:
De vraag kan zelfs nog verder worden geglobaliseerd: De discussie moet eigenlijk gaan over de vraag of een willekeurige softwareleverancier d.m.v. haar product een ander willekeurig porgramma mag verbieden dat door de gebruiker zelf is geinstalleerd.
En met "zelf" wordt bedoeld: bewust eigenhandig en interactief.
Door Anoniem: De discussie lijkt te gaan over de vraag of Microsoft Firesheep mag verbieden. Maar de discussie moet eigenlijk gaan over de vraag of Microsoft een willekeurig porgramma mag verbieden dat door de gebruiker zelf is geinstalleerd.
Ik ben dus wel benieuwd naar de mening van iedereen hierboven als we firesheep vervangen door no-script. Want ook dat programma is een bedreiging voor websites, namelijk de sites die drijven op de opbrengsten van reclames die vaak niet getoond worden vanwege het gebruik van no-script.
Peter
Ik ben dus wel benieuwd naar de mening van iedereen hierboven als we firesheep vervangen door no-script. Want ook dat programma is een bedreiging voor websites, namelijk de sites die drijven op de opbrengsten van reclames die vaak niet getoond worden vanwege het gebruik van no-script.
Peter
De vraag kan zelfs nog verder worden geglobaliseerd: De discussie moet eigenlijk gaan over de vraag of een willekeurige softwareleverancier d.m.v. haar product een ander willekeurig porgramma mag verbieden dat door de gebruiker zelf is geinstalleerd.
En met "zelf" wordt bedoeld: bewust eigenhandig en interactief.
In dat geval kan je Microsoft nergens meer de schuld van geven. Want elk virus, malware of nep virusscanner wordt niet door Microsoft geïnstalleerd, terwijl het wel de schuld krijgt van het feit dat dat kan. Maar dan kom je op een ander vraag uit.
De vraag: Mag een OS leverancier software buiten de deur houden dat in de eerste plaats al niet geïnstalleerd had mogen worden.
05-11-2010, 13:15 door
Mysterio
Het is echter niet het OS van Microsoft wat het stukje software buiten de deur houdt, het is de virus scanner. Van een virusscanner verwacht ik een zekere bescherming tegen (potentieel) ongewenste/schadelijke software. Op z'n minst een waarschuwing.
Door Mysterio: Het is echter niet het OS van Microsoft wat het stukje software buiten de deur houdt, het is de virus scanner. Van een virusscanner verwacht ik een zekere bescherming tegen (potentieel) ongewenste/schadelijke software. Op z'n minst een waarschuwing.
Maar toch niet POTENTIEEL ongewenst/schadelijke software dat de gebruiker zelf heeft geinstalleerd. In de ogen van de gebruiker is het in ieder geval niet ongewenst. Waarom kan een softwarepakket van een extern bedrijf dat dan wel even voor die gebruiker beslissen?
Peter P
Door Mysterio: Het is echter niet het OS van Microsoft wat het stukje software buiten de deur houdt, het is de virus scanner. Van een virusscanner verwacht ik een zekere bescherming tegen (potentieel) ongewenste/schadelijke software. Op z'n minst een waarschuwing.
Maar tenzij ze iets gevonden hebben in Firesheep zelf, is het precies de verkeerde computer waar je de waarschuwing op krijgt...
05-11-2010, 16:03 door
Mysterio
Dat zou kunnen natuurlijk... maar ik verwacht het niet. Dit zie je wel vaker bij andere software die je zelf installeert maar niet gewenst is, zoals no-cd cracks en zo.
06-11-2010, 11:13 door
stuffy
Wat een gigantische onzin weer van MS. :(
Als ik een tool wil gebruiken, voor wat dan ook, dan maak ik dat zelf wel uit. Daar heeft MS niks mee te maken!
IK ben baas over mijn PC en wat daarop draait. Dan kan iemand wel stellen dat het niet mag, en weet ik veel wat voor blabla meer, maar dat maak ik dan nog altijd zelf uit!
Dit is niet de eerste keer dat MS software uitsluit. Kijk maar naar Netscape.
Juist 1 vd redenen waarom ik al jaren alternatieve OS'sen gebruik.
Ik ben baas en wil baas blijven! Wie dat niet accepteerd moet gaan fietsen! :)
Als ik een tool wil gebruiken, voor wat dan ook, dan maak ik dat zelf wel uit. Daar heeft MS niks mee te maken!
IK ben baas over mijn PC en wat daarop draait. Dan kan iemand wel stellen dat het niet mag, en weet ik veel wat voor blabla meer, maar dat maak ik dan nog altijd zelf uit!
Dit is niet de eerste keer dat MS software uitsluit. Kijk maar naar Netscape.
Juist 1 vd redenen waarom ik al jaren alternatieve OS'sen gebruik.
Ik ben baas en wil baas blijven! Wie dat niet accepteerd moet gaan fietsen! :)
08-11-2010, 11:42 door
Mysterio
Beste stuffy, natuurlijk bepaal jij wat jij draait, de virusscanner geeft echter een advies. Als jij dat wilt kun je virussen, spyware en wormen installeren wat je wilt, maar dan verwacht je wel dat je virusscanner op z'n minst een keer kucht. Toch? Jij mag nog steeds uitmaken wat de virusscanner er vervolgens mee doet. Niemand zegt, zelfs Microsoft niet, dat je het niet mag draaien, je wordt er enkel tegen gewaarschuwd.
Wie de baas wil zijn moet het natuurlijk wel kunnen.
Wie de baas wil zijn moet het natuurlijk wel kunnen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
