image

Consumentenbond: Windowscomputers slecht beveiligd

dinsdag 27 januari 2015, 14:29 door Redactie, 29 reacties

Twee op de drie Windowscomputers zijn door verouderde software en onveilige instellingen slecht beschermd tegen malware. Dit blijkt uit onderzoek van de Consumentenbond onder bijna 500 consumenten. De meerderheid van de ondervraagde consumenten gaf vóór het onderzoek aan een gemiddelde tot uitstekende kennis van veilig computerbeheer te hebben, maar bij een analyse van hun pc blijkt dit tegen te vallen.

De computers werden met ScanCircle gescand, een gratis te downloaden analyseprogramma. Op 39% van de onderzochte computers stonden verouderde versies van programma’s als Java, Adobe Flash Player en Adobe Reader. Het verwijderen of updaten van deze software lost een groot deel van de aangetroffen lekken op, al bleek uit het onderzoek ook dat verouderde software niet het enige beveiligingsprobleem is.

Op 25% van de computers stond ongewenste of verdachte software, bij 13% was het gebruikersaccountbeheer uitgeschakeld en 3% had helemaal geen virusscanner. De Consumentenbond adviseert internetgebruikers om hun software up-to-date te houden. Verder wordt aangeraden om Java te verwijderen als er geen Javatoepassingen worden gebruikt. "Java is op zijn retour; er zijn steeds minder toepassingen die het nodig hebben. Tegelijk is Java heel populair bij criminelen", aldus de bond.

Reacties (29)
27-01-2015, 14:33 door Anoniem
De les is niet "je moet vaker de software bijwerken", want dat gebeurt gewoon niet en is welbeschouwd een zwaktebod. De les is wel "we moeten structureel betere software maken, die niet voortdurend bijgewerkt moet hoeven worden". Maar dat is dan weer "te duur" voor bedrijven die alleen op korte termijn denken. Op de lange termijn had competent hun werk doen hun klanten een hele industrie van oplapsoftwareknutselaars bespaard.
27-01-2015, 14:57 door Anoniem
Hmmm... ScanCircle ziet er nu niet zo betrouwbaar uit. Hoog my first sony gehalte.

Ik raad aan om Secunia PSI te installeren. Deze scanned niet alleen op verouderde programma's maar laat ze ook automatisch bijwerken als je dat wilt. En zo doende heb je altijd van je al je windows programma's een nieuwe versie.

Plus het ziet er een stuk overzichtelijker uit.

https://secunia.com/vulnerability_scanning/personal/

TheYOSH
27-01-2015, 15:04 door Anoniem
Java is erg vatbaar als je het in de browser gebruikt. Daarnaast is de gebruiker die er voor zorgt dat er malware op de computer komt.

Ik draai ook een oude versie van java, maar ik heb die niet als browserplugin.
Ik ben standaard administrator, en zelfs zonder virusscanner heb ik geen malware. Dat blijf ik gewoon doen totdat ik malware heb draaien. Maar voor dat dat zover is moet die Mij, een uptodate virusscanner en sandbox verslaan. Helaas is dat nog geen enkele malware gelukt afgelopen jaren.
Ook heb ik natuurlijk verdachte software, maar ik weet zeker dat het geen malware is.

Hun programma lijkt erg veel op malware, ik heb ook geen rede om het uit te voeren.
Een ervaren pc gebruiker weet dat die nog lang niet alles weet. Een ervargen gebruiker zou zelfs zonder virusscanner en met admin rechten alles kunnen doen zonder dat ze een virus krijgen. De virusscanner is er om de veelvoorkomende virussen tegen te houden.

Als je software gaat opzoeken moet je de download gewoon van betrouwbare bron halen, daarna in sandbox testen, en dan de bestanden er weer uithalen. De kans dan op virus ligt aan de soort software en de bron, een ervargen gebruiker heeft dus nooit last van malware.
Alles wat met internet communiceert kan lekken bevatten en dat moet dus vooral uptodate zijn. Als extra laag is EMET en virusscanner en browseradd-ons de beste manier om tegen de nieuwste aanvallen beschermen.
27-01-2015, 15:13 door Anoniem
Zo zie je maar weer dat de fout tussen de stoel en het toetsenbord zit en is het zorgwekkende omdat steeds meer overheidsdienten alleen digitaal te doen zijn en hier meer Identiteits fraude opeens een stuk makkelijker is voor cybercriminelen.

Mensen die hun software en OS niet bij werken ken ik helaas ook maar al te goed, want is niet nodig, is een heel gedoe en ze komen toch nooit op porno sites. Maar klikken ondertussen wel op de bekende mailtjes met leuke linkjes naar foto's en video's. Of worden boos als je een admin en user account aanmaakt, wie je dan wel niet denkt te zijn om hun niet te vertrouwen...... Tja,
27-01-2015, 15:30 door Anoniem
"By performing a scan, the user allows ScanCircle to use the scan data for a.o. advice, statistics and demographical information;"

Afgezien van de Dutchisms in deze voorwaarden, dit programma is dus een privacy probleem.

De Consumentenbond heeft een chronisch probleem in het lezen van voorwaarden. Eerder al aangetoond met de banken die hun verantwoordelijkheid op klanten proberen af te wentelen.
27-01-2015, 15:41 door Anoniem
Het kost ook altijd nodeloos veel tijd om juist die Adobe Flash Player en Adobe Reader pakketten te updaten.

Op een mac gaat alles automatisch, behalve juist die 2 pakketten en Silverlight.

Adobe zou eens aangespoord moeten worden dit als instant update te maken. Net zoals in Chrome met Flash.
27-01-2015, 15:54 door Erik van Straten - Bijgewerkt: 28-01-2015, 10:03
Persoonlijk geef ik de voorkeur aan https://browsercheck.qualys.com/?scan_type=js, alleen jammer dat ze op dit moment Adobe Flash v16.0.0.296 nog als onveilig aanduiden.

Los van die slordigheid: als alles op groen staat in de door jou gebruikte webbrowser, heb je je zaakjes over het algemeen goed op orde.

Nog veiliger kan alleen door sites als security.nl in de gaten te houden voor Zero-Day exploits en gevaarlijke software niet meer te gebruiken totdat deze gepatcht is.

Aanvulling 28-01-2015 10:03: https://browsercheck.qualys.com/?scan_type=js geeft nu geen foutmelding meer als versie 16.0.0.296 in jouw web browser is geïnstalleerd (en enabled is).
27-01-2015, 16:50 door Anoniem
Hmmm

via https://browsercheck.qualys.com/?scan_type=js is mijn firefox inveilig ivm een verouderde flashplugin
Chrome daarentegen is wel veilig
27-01-2015, 17:01 door Joep Lunaar - Bijgewerkt: 27-01-2015, 17:02
"Op 25% van de computers stond ongewenste of verdachte software, ..."
Omdat het feitelijke percentage 100% is, kun je je afvragen hoeveel cijfers van het getal 25 als significant kunnen gelden.
Ik vermoed nul.
27-01-2015, 17:03 door Anoniem
Door Anoniem: Zo zie je maar weer dat de fout tussen de stoel en het toetsenbord zit
Die conclusie is onterecht en oneerlijk, want veel van die software inclusief het besturingssysteem was (en is nog steeds) verkocht met de marketeering gimmick van "geen training nodig".

Ja, gebruikers met meer vaardigheden zou leuk zijn, maar nee dat mag je ze niet zelf aanrekenen, niet zolang ze aan alle kanten verteld wordt dat ze al die traning niet nodig hebben want de software is zo "slim" dat dat niet hoeft.

En laten we wel wezen, dat bijwerken en bijhouden is bijkans een dagtaak. Het was toch de bedoeling dat we meer konden en er minder werk aan hadden met die kompjoeterzooi? En niet, zoals nu, precies de omgekeerde situatie?

en is het zorgwekkende omdat steeds meer overheidsdienten alleen digitaal te doen zijn en hier meer Identiteits fraude opeens een stuk makkelijker is voor cybercriminelen.
Dat is op zichzelf al zorgwekkend, zeker omdat het neerkomt op het vervangen van pen en papier door "websites" die volgend jaar wellicht volgens een hele andere standaard werken en dan kan oudere software ineens niet meer mee. Met papier kan ik tweehonderd jaar oude velletjes met evenzooude inkt beschrijven en zo mijn grieven aan de koning presenteren. Met websites mag je blij zijn als ze het twee jaar uithouden.

Dit nog los van het hemeltergend nodeloos beperkte idee van "digitaliseren" op een manier die de eindgebruiker vooral extra werk en minder mogelijkheden oplevert. Ik kan bijvoorbeeld niet even met mijn eigen applicatie inhaken, want website.
27-01-2015, 17:04 door Anoniem
Deze regels kunnen niet vaak genoeg herhaald worden.
Klinkt als muziek in de oren, een soort security Wilhelmus eigenlijk.

Couplet 1
..wordt aangeraden om Java te verwijderen als er geen Javatoepassingen worden gebruikt. "Java is op zijn retour; er zijn steeds minder toepassingen die het nodig hebben. Tegelijk is Java heel populair bij criminelen"..

Couplet 2
..wordt aangeraden om Java te verwijderen als er geen Javatoepassingen worden gebruikt. "Java is op zijn retour; er zijn steeds minder toepassingen die het nodig hebben. Tegelijk is Java heel populair bij criminelen"..

Nog 1 keer dan, omdat het als muziek in de oren klinkt

Couplet 3
..wordt aangeraden om Java te verwijderen als er geen Javatoepassingen worden gebruikt. "Java is op zijn retour; er zijn steeds minder toepassingen die het nodig hebben. Tegelijk is Java heel populair bij criminelen"..
Nou vooruit, nog 1000 coupletten dan!


Eigenlijk zou er een Live-software verwijder cd moeten komen voor de grootste dreigingen aan niet gebruikte software.
Ceedeetje / uusbeetje erin en verwijderen maar.

Geen Java Bashen maar Java trashen!
Geen halfzacht security werk met java plugin deactiveren, te onveilig!
Exit, exit, exit, exit Java.
27-01-2015, 17:30 door [Account Verwijderd] - Bijgewerkt: 27-01-2015, 17:32
[Verwijderd]
27-01-2015, 17:38 door [Account Verwijderd] - Bijgewerkt: 27-01-2015, 17:45
[Verwijderd]
27-01-2015, 18:26 door [Account Verwijderd]
[Verwijderd]
27-01-2015, 18:40 door Anoniem
Door Krakatau:
Door Anoniem:

Geen Java Bashen maar Java trashen!

Daar heb je die Java bashing muts weer met z'n rare kruistocht tegen alles wat Oracle heet...

Je trekt je er herhaaldelijk niets van aan, maar het geldt ook voor jou

(los van de 'grappen' die je keer op keer uithaalt door je tekst na een uur of anderhalf uur te verwijderen of juist aan te vullen zodat het niet opvalt bij lezers of moderators).

Security.NL Huisregels

Om de kwaliteit te bewaken en de website en het forum voor iedereen een prettige omgeving te maken zijn er huisregels opgesteld waar iedere bezoeker van Security.NL zich aan dient te houden. In het algemeen verwachten wij dat iedere bezoeker zijn of haar gezond verstand gebruikt en respect toont voor anderen.

Algemeen

Wees respectvol richting andere bezoekers en moderators


Doe je niet.
Wanneer ga je dat wel doen?
27-01-2015, 19:32 door vanegmond
ScanCircle gescand, een gratis te downloaden analyseprogramma.

De download is geeneens te controleren met Virustotal !?
Ik probeerde het en ik had Firefox aan, waarbij die traag werd en het online radio
luisteren wegviel, alleen met het controleren van dit ding. Dus ik vertrouw het niet !
27-01-2015, 20:04 door [Account Verwijderd]
[Verwijderd]
28-01-2015, 03:07 door Anoniem
Door Anoniem: Hmmm... ScanCircle ziet er nu niet zo betrouwbaar uit. Hoog my first sony gehalte.

Ik raad aan om Secunia PSI te installeren. Deze scanned niet alleen op verouderde programma's maar laat ze ook automatisch bijwerken als je dat wilt. En zo doende heb je altijd van je al je windows programma's een nieuwe versie.

Plus het ziet er een stuk overzichtelijker uit.

https://secunia.com/vulnerability_scanning/personal/

TheYOSH

secunia doet ook geen bal
ja op wat adobe updates na , heb je wat aan
krijg ze automatisch en nog sneller dan secunia ze update
dat programma werkte vroeger wel goed, maar lijkt nu alleen maar adobe bij te houden , wat een joke!
28-01-2015, 06:30 door Anoniem
Door Krakatau: Programming Languages 2014 - Java aan kop:

http://media.tumblr.com/7807f1ec948939c6fccd0fa6d66fa501/tumblr_inline_n4drm0klsW1rlhc9s.png

De consumentenbond is dus weer slecht of half geïnformeerd... Of bedoelen ze misschien het gebruik van de Java browserplug-in (i.p.v. Java zelf).

Nou, nou, nou Krakatau.
Het plaatje waar u naar verwijst is van een programmeer wedstrijd ("Hello World Open") in Helsinki vorig jaar en niet van de realiteit. Maar zelfs als we van de wedstrijd uitgaan dan ziet de oplettende lezer het volgende beeld.
De C taal is speciaal voor de wedstrijd, geheel tegen de C++ standaard in, waar C en C# een subset van C++ zijn, verdeeld in C, C++ en C#.
Als we deze bij elkaar optellen komt "C" ruim boven Java uit, wat ook overeenkomt met de realiteit waar Python op de tweede plaats staat.

Java is prima voor koffiezetapparaten, telefoons, autoradio's en wasmachines, maar programma's in Java schitteren door bijna totale afwezigheid op zowel MS-Windows als de Mac. "Vuze" bestaat nog, maar de populariteit daarvan is behoorlijk tanend.

Door een totaal gebrek aan kennis van wat er achter de schermen gebeurt, dus op machinecode niveau, denkt u (abusievelijk) dat als een code regel in machineinstructies is omgezet dat dan alles even snel is, maar dat is niet zo. Java genereert uiteindelijk (dus het resultaat van omzetten door de JIT compilers van binaire code naar machine code) minstens twaalf tot vijftien keer zoveel machine instructies als C. (Genereer maar eens assembler versies van dezelfde code.)

En de wedstrijd? Die is (natuurlijk) gewonnen door C programmeurs, uit Polen. (Het team "Need For C" om precies te zijn.)
28-01-2015, 08:22 door Anoniem
Goh, gebruikers die denken dat ze het weten, en wat dan niet zo blijkt te zijn. Schokkend. Daarnaast heb ik ook mijn vraagtekens bij de geteste groep. Mensen die op aanvragen van een lekenclub als de consumentenbond een programmaatje downloaden en draaien (zeker met dergelijke slechte privacyregels) zijn imo niet representatief.

Just my €0,02
28-01-2015, 10:16 door Erik van Straten - Bijgewerkt: 28-01-2015, 10:17
27-01-2015, 16:50 door Anoniem: Hmmm

via https://browsercheck.qualys.com/?scan_type=js is mijn firefox inveilig ivm een verouderde flashplugin
Chrome daarentegen is wel veilig

Zoals je kon lezen in https://www.security.nl/posting/416408/#posting416421:
27-01-2015, 15:54 door Erik van Straten: alleen jammer dat ze op dit moment Adobe Flash v16.0.0.296 nog als onveilig aanduiden.

Op dat moment was de situatie op jouw PC als volgt: in elk geval Chrome had een lekke Flash plugin. Firefox had ofwel een up-to-date Flash plugin, ofwel een nog oudere versie dan Chrome.

Overigens geeft https://browsercheck.qualys.com/?scan_type=js op dit moment correct aan dat Flash v16.0.0.296 de juiste versie is.

Wellicht interessant nieuws is dat YouTube serieuze stappen zet om Flash te vervangen door HTML5, zie http://youtube-eng.blogspot.com.au/2015/01/youtube-now-defaults-to-html5_27.html (bron: http://www.theregister.co.uk/2015/01/28/youtube_flushes_flash_for_future_flicks/).
28-01-2015, 10:59 door Anoniem
Het is allemaal niet zo ingewikkeld als men doet blijken hier.

https://ninite.com/ kies wat je wilt bijwerken en download de installer.

Klaar.
28-01-2015, 11:15 door [Account Verwijderd] - Bijgewerkt: 28-01-2015, 11:55
[Verwijderd]
28-01-2015, 11:35 door Anoniem
Door Anoniem: Java is prima voor koffiezetapparaten, telefoons, autoradio's en wasmachines,
Ik heb nooit begrepen met welk recht de ontwikkelaars van java-de-taal het zo interessant vonden om te roepen dat java heel geschikt was voor "embedded". Daar zijn vele oplossingen die minder hulpbronnen vreten te verkrijgen, en daarmee stukken goedkoper want (veel) minder hardware nodig.

Dit is overigens een bekend lament van "oude rotten" in de electronica, die met lede ogen aanzien hoe de vers-van-de-pers jonkies veel meer rekenkracht denken te moeten verbranden dan waar de oude rotten weg mee weten. Een autoradio kan je met een simpele microcontroller ook wel besturen. En persoonlijk denk ik dat wasmachines helemaal geen chips nodig hebben, een mechanische programma-afdraaier doet het ook prima. Een koffiezetapparaat hoeft alleen maar te druppelen zolang er water is en moet dan stoppen, meer niet. Al die extra functies die je met microcontrollers kan toevoegen wegen wat mij betreft niet op tegen de extra complexiteit en verminderde repareerbaarheid.

maar programma's in Java schitteren door bijna totale afwezigheid op zowel MS-Windows als de Mac. "Vuze" bestaat nog, maar de populariteit daarvan is behoorlijk tanend.
Dat zegt meer over het soort programmas dat jij gebruikt dan hoeveel er werkelijk in java geschreven is. In de wereld van het grootbedrijf is java heel erg groot. Inderdaad, zowel op de servers als op de desktop, en niet alleen binnen het eigen bedrijf. Daarnaast ontkom je er als beheerder niet aan omdat allerlei beheersondersteunende hardware ervanuitgaat dat je java geinstalleerd hebt op je (windows)desktopje*, als bij-effect van de wens "COTS" wintendospul tot "server" te bombarderen. Dit is niet robuust maar wel de praktijk.

Java heeft zichzelf een aardige niche bezorgd in de "business logic", en dat maakt de lakse houding van oracle niet alleen ergerlijk, ook enorm dom, voor zichzelf dan.


* Verbazend hoeveel netwerkhardware er gewoon prat op gaat dat je als beheerder wel een specifiek besturingssysteem zal gebruiken. Ergerlijk ook als je dat niet doet, want het zou verder volstrekt irrelevant voor de functie van het apparaat moeten zijn. Dan is "java vereisen" een mindere, maar nog steeds ernstig belemerende, zonde.
28-01-2015, 15:16 door Anoniem
Wat ik persoonlijk jammer vind aan Microsoft is dat bij je updates ook heel veel onzin meekomt, een update van je talenpakket bijvoorbeeld en een fout in de software maar dan moet men kunnen inloggen op je netwerk of op je systeem, dat heb je prive niet nodig en zo kan ik veel dingen aangeven waarvan ik denk waarom krijg je niet updates en wordt het bijgewerkt op maat.
Als je een fout in je systeem hebt dan zou het zinvol zijn dat na een scan deze wordt bijgewerkt maar dan op maat op jou pc gebruik afgestemd.
28-01-2015, 16:30 door Anoniem
@ Krakatau en Co:

Oracle maakt zelf graag reclame met het grote aantal devices waarop Java (embedded) loopt.
En ja, tegenwoordig hebben we ook "Smart Coffeemakers".
http://computertotaal.nl/overige-elektronica/mr-coffee-smart-coffeemaker-slim-koffiezetten-63924

Door Anoniem:Door een totaal gebrek aan kennis van wat er achter de schermen gebeurt, dus op machinecode niveau, denkt u (abusievelijk) dat als een code regel in machineinstructies is omgezet dat dan alles even snel is, maar dat is niet zo. Java genereert uiteindelijk (dus het resultaat van omzetten door de JIT compilers van binaire code naar machine code) minstens twaalf tot vijftien keer zoveel machine instructies als C. (Genereer maar eens assembler versies van dezelfde code.)


Dat gaat over geheugengebruik. En waaruit denkt u een conclusie te kunnen trekken over mijn vermeende totale gebrek aan
kennis van wat er achter de schermen gebeurt? Ik heb nog in assembly geprogrammeerd :-)

Heel simpel voorbeeldje:
Het feit dat u zegt dat het hier om geheugengebruik gaat zegt eigenlijk alles.
Nuff said.
28-01-2015, 20:02 door Anoniem
Op mijn Windows werk pc ook altijd gekloot om naast het besturingssysteem ook alle losse programmatuur bijgewerkt te houden.
Thuis op Linux (Xubuntu) na een update het hele systeem bijgewerkt, dus ook alle programmatuur.
Heerlijk dat Xubuntu.....
28-01-2015, 21:47 door ph-cofi
Is dat eigenlijk niet vreemd, software installeren om te kijken hoe kwetsbaar je PC is?

De link van Erik van Straaten installeert geen software. Gelukkig zegt-tie "Javascript Not Enabled" bij mij (noscript), dat voelt alvast als een vliegende veiligheidsstart :) En klagen over de Flashplayer, lijkt wel de achilleshiel van PC software.

Even serieus, zonder Java geen Minecraft meer, het meest gespelde spel ter wereld (volgens mijn zoon, dan). Wellicht een inherente kwetsbaarheid, maar ik neem niet veel aanvallen waar uit die hoek.
28-01-2015, 23:18 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.