Security Professionals - ipfw add deny all from eindgebruikers to any

Bonus backdoor in W10

15-05-2015, 07:38 door Erik van Straten, 19 reacties
Uit http://news.xbox.com/2015/05/games-candy-crush-saga-is-coming-to-windows-10 (bron: http://www.nu.nl/games/4049459/candy-crush-standaard-geinstalleerd-windows-10.html):
As an added bonus, Candy Crush Saga will automatically be installed for customers that upgrade to or download Windows 10 for periods of time following the game launch.
Is dit een grap of wordt W7 de laatste Windows versie voor serieus en veilig gebruik?
Reacties (19)
15-05-2015, 08:57 door FSF-Moses
Als dit waar mocht blijken te zijn dan hoop ik toch echt dat dat duidelijk wordt gevraagd tijdens de installatie.
15-05-2015, 09:13 door Anoniem
Welke backdoor is dit dan?

Het is gewoon een game die preinstalled is....
15-05-2015, 10:49 door Anoniem
Aan een OS alleen valt bijna niets meer te verdienen. OSX is 'gratis', linux is ook gratis (en steeds vriendelijker in het gebruik). Aangezien MS nog niet echt een verdienmodel heeft zoals Apple (verdienen op content) zullen ze ergens anders geld vandaan moeten harken.......
Old-skool bloatware in de vorm 'gratis' games e.d. is dan een alternatief. Aangezien de makers van die software ook wel weer geld willen verdienen zullen die ook steeds agressiever worden in het aanprijzen van hun software -> zo is destijds ook de spyware/malware beweging ontstaan.
In die markt is er nml weinig tot geen 'free as in free beer' te krijgen.
15-05-2015, 10:51 door Erik van Straten - Bijgewerkt: 15-05-2015, 11:20
Door Anoniem: Welke backdoor is dit dan?
1) Bugvrije software bestaat niet; daarom worden automatic updates geaccepteerd als noodzakelijk kwaad

2) Internetconnectiviteit betekent grotere beveiligingsrisico's (genoemde automatic updates, maar ook "The game is primarily monetized through in-app purchases", bron: https://en.wikipedia.org/wiki/Candy_Crush_Saga#In-app_purchases)

3) Los van risico's gerelateerd aan andere internetconnectiviteit, bieden automatic updates de leverancier (en bij onjuiste implementatie -dat zou niet voor het eerst zijn-, mogelijk derden) een backdoor in jouw systeem.

Misschien "leuk voor thuis", maar op professionele systemen is het ongewenst dat deze "naar huis bellen" met leveranciers waar je geen overeenkomst mee hebt (aanvulling 11:20), tenzij je die om andere redenen denkt te kunnen vertrouwen. Op een "kaal systeem" Microsoft en je AV boer vertrouwen is al ingewikkeld genoeg...
15-05-2015, 11:46 door Spiff has left the building
Door Erik van Straten, 07:38 uur:
Is dit een grap of wordt W7 de laatste Windows versie voor serieus en veilig gebruik?

Bijna identiek aan dat
Candy Crush Saga will automatically be installed for customers that upgrade to or download Windows 10 for periods of time following the game launch.
dat hier wordt vermeld http://news.xbox.com/2015/05/games-candy-crush-saga-is-coming-to-windows-10,
wordt hier http://blogs.windows.com/bloggingwindows/2015/05/14/candy-crush-saga-coming-to-windows-10/ vermeld:
Candy Crush Saga will be automatically installed for customers that upgrade to or download Windows 10 during the launch!
"during the launch" zou geïnterpreteerd kunnen worden als "during the launch of Windows 10",
maar "for periods of time following the game launch" kan enkel geïnterpreteerd worden als gekoppeld aan de "game launch".
Wat wordt nou precies bedoeld door Microsoft, zo kun je je afvragen.
Welke van de twee berichten was de originele boodschap, en welke van de twee is daarvan afgeleid met die andere formulering?

Hoe dan ook lijkt het bericht aan te geven dat het automatisch installeren van Candy Crush Saga een tijdelijk fenomeen zal zijn, "for periods of time following the game launch", of "during the launch".
Na die periode zou dan geen sprake meer horen te zijn van dat automatisch installeren van Candy Crush Saga en zou Windows 10 geïnstalleerd kunnen worden zonder het gedonder van het meeïnstalleren van Candy Crush Saga.

Niettemin zijn dit soort 'grappen' niet goed voor het vertrouwen in Microsoft en Windows 10.
15-05-2015, 13:41 door Anoniem
Door Erik van Straten:
Door Anoniem: Welke backdoor is dit dan?
1) Bugvrije software bestaat niet; daarom worden automatic updates geaccepteerd als noodzakelijk kwaad
Ofwel je moet eigenlijk geen applicaties installeren?

2) Internetconnectiviteit betekent grotere beveiligingsrisico's (genoemde automatic updates, maar ook "The game is primarily monetized through in-app purchases", bron: https://en.wikipedia.org/wiki/Candy_Crush_Saga#In-app_purchases)
En dit levert bugs op?
Alles wat aan het Internet hangt is gevaarlijk.

3) Los van risico's gerelateerd aan andere internetconnectiviteit, bieden automatic updates de leverancier (en bij onjuiste implementatie -dat zou niet voor het eerst zijn-, mogelijk derden) een backdoor in jouw systeem.
Bij een bedrijf draait er meestal WSUS voor updates. Dus beheerd een admin de updates.
En iedere update of stukje software wat je installeerd kan een backdoor zijn.

Niettemin zijn dit soort 'grappen' niet goed voor het vertrouwen in Microsoft en Windows 10.

gelukkig heeft men daar juist tijdens Windows 8 een appstore voor bedacht..... Ofwel men kan altijd deze apps installeren waarna auto update zijn werk doet.
15-05-2015, 14:50 door Erik van Straten
15-05-2015, 13:41 door Anoniem:
Ofwel je moet eigenlijk geen applicaties installeren?
[...]
Alles wat aan het Internet hangt is gevaarlijk.
[...]
En iedere update of stukje software wat je installeerd kan een backdoor zijn.
Fijn dat we het eens zijn!

Aangezien een absoluut veilig systeem niet bestaat, moet je, afhankelijk van de toepasing, streven naar een compromis tussen werkbaarheid en veiligheid. Voor de meeste zakelijke systemen betekent dit in elk geval dat je niet wilt dat leveranciers van software, waar je notabene voor betaalt, jou ongewenste crapware door de strot douwen.
15-05-2015, 14:54 door Spiff has left the building
Door Spiff, 11:46 uur:
Niettemin zijn dit soort 'grappen' niet goed voor het vertrouwen in Microsoft en Windows 10.
Door Anoniem, 13:41 uur:
gelukkig heeft men daar juist tijdens Windows 8 een appstore voor bedacht..... Ofwel men kan altijd deze apps installeren waarna auto update zijn werk doet.
Wat bedoel je nou toch?
Erik en ook ik worden er niet blij van dat Candy Crush Saga automatisch wordt meegeïnstalleerd ("for periods of time following the game launch"/ "during the launch").
Het zou helemaal niet zo moeten zijn dat Candy Crush Saga automatisch wordt meegeïnstalleerd.
De gebruiker zou de keuze mogen krijgen (via opt-in) Candy Crush Saga te installeren. Automatisch meeïnstalleren is ronduit fout, in mijn optiek.
15-05-2015, 15:33 door [Account Verwijderd] - Bijgewerkt: 15-05-2015, 15:55
Hmm als ik een spel wil spelen dan speel ik dat wel op een game console, dat Candy Crush Saga automatisch wordt gedownload en geïnstalleerd, wordt ik niet blij van.

Door Erik van Straten 15-05-2015 10:51 uur:
Misschien "leuk voor thuis", maar op professionele systemen is het ongewenst dat deze "naar huis bellen" met leveranciers waar je geen overeenkomst mee hebt (aanvulling 11:20), tenzij je die om andere redenen denkt te kunnen vertrouwen. Op een "kaal systeem" Microsoft en je AV boer vertrouwen is al ingewikkeld genoeg...

Ik neem aan dat Candy Crush Saga toch ook weer te verwijderen is? En anders eventueel maar blokkeren via de firewall.
15-05-2015, 20:53 door karma4
Door Erik van Straten 15-05-2015 10:51 uur:
Misschien "leuk voor thuis", maar op professionele systemen is het ongewenst dat deze "naar huis bellen" met leveranciers waar je geen overeenkomst mee hebt (aanvulling 11:20),
En professionele systemen gaan we ineens preinstalled doen iets wat we altijd NIET gedaan hebben. Dan is er echt iets gemist. Deze professionele systemen zullen net als nu eisen dat ze een eigen preinstalled build samenstellen en beheren.
15-05-2015, 23:41 door [Account Verwijderd]
[Verwijderd]
16-05-2015, 00:54 door Eric-Jan H te D
Door Anak Krakatau: knappe jongen als ie dan nog werkt.

Behalve als het portable software is dat zonder installatie werkt.
16-05-2015, 09:45 door Erik van Straten
Uit http://tweakers.net/nieuws/103096/microsoft-levert-candy-crush-standaard-mee-met-windows-10.html:
[...]
Candy Crush Saga zal automatisch uit de Store worden gedownload op nieuwe Windows 10-installaties, ook bij mensen die upgraden vanaf een oudere Windows-versie.
[...]
Update 14:04 In het originele artikel stond dat Microsoft Candy Crush Saga standaard zou voorinstalleren op de computer, maar het spel wordt gedurende een bepaalde periode automatisch gedownload uit de Store.
Naar verluidt zul je dus moeite moeten doen om te voorkomen dat crapware op "jouw" (door jou beheerde) W10 computers komt. Welke garanties heb je dat Microsoft in de toekomst geen nieuwe deals sluit met bloatware/adware leveranciers en je andere meuk opdringt? Vermoedelijk geen.

Immers, sinds W8 levert Microsoft ongevraagd Adobe Flash weer mee (of dat in de huidige W10 beta en definitieve versie ook zo is, weet ik niet), en ik ken niemand die beweert dat een PC daar veiliger van wordt.
16-05-2015, 11:30 door Spiff has left the building
Door Erik van Straten, 09:45 uur:
Uit http://tweakers.net/nieuws/103096/microsoft-levert-candy-crush-standaard-mee-met-windows-10.html:
[...]
Candy Crush Saga zal automatisch uit de Store worden gedownload op nieuwe Windows 10-installaties, ook bij mensen die upgraden vanaf een oudere Windows-versie.
[...]
Update 14:04 In het originele artikel stond dat Microsoft Candy Crush Saga standaard zou voorinstalleren op de computer, maar het spel wordt gedurende een bepaalde periode automatisch gedownload uit de Store.
Ja, ik zag gisteren al die update van Tweakers, maar ik weet niet waarop ze zich baseren.
De bron waarnaar verwezen wordt,
http://blogs.windows.com/bloggingwindows/2015/05/14/candy-crush-saga-coming-to-windows-10/,
die vermeldde gisteren 11:46 uur al:
Candy Crush Saga will be automatically installed for customers that upgrade to or download Windows 10 during the launch!
En deze bron,
http://news.xbox.com/2015/05/games-candy-crush-saga-is-coming-to-windows-10,
die vermeldde gisteren 11:46 uur al:
Candy Crush Saga will automatically be installed for customers that upgrade to or download Windows 10 for periods of time following the game launch.
Ik heb daarom geen idee waar Tweakers - en ook diverse andere nieuwssites - zich precies op baseert en baseerden.
Niet met de oorspronkelijke versie van het bericht door Tweakers, en ook niet met de update door Tweakers.

Het komt vaker voor dat nieuwssites, zoals Tweakers maar ook andere, bronberichten verkeerd interpreteren en daardoor een 'nieuwsbericht' de wereld in helpen dat geen correcte weergave is van het oorspronkelijke bericht.
16-05-2015, 13:56 door Anoniem
Candy crush saga op je windows 10 installatie is irritant, geen security disaster. Dat mensen zich hier druk om kunnen maken.

1) Candy Crush is behalve een rotspel, ook een spel wat het goed gedaan heeft. Ik denk dat die gasten inmiddels rijk genoeg zijn om te zorgen dat hun software (o.g.v. security) goed in elkaar steekt. Waarom? Zij hebben ook een verdienmodel, niemand koopt die muntjes als je ze gewoon op je account kan plaatsen d.m.v. een hack.

2) Windows 7 zit ook patience op. Wat is het verschil tussen Windows 7's patience en Windows 10's Candy Crush?

3) Trek dan de beredenering door naar alle software die meekomt met Windows, waarom mag Paint wel? of Calc.exe?
Waarom pak je alleen Candy crush aan?

1) Bugvrije software bestaat niet; daarom worden automatic updates geaccepteerd als noodzakelijk kwaad

2) Internetconnectiviteit betekent grotere beveiligingsrisico's (genoemde automatic updates, maar ook "The game is primarily monetized through in-app purchases", bron: https://en.wikipedia.org/wiki/Candy_Crush_Saga#In-app_purchases)

3) Los van risico's gerelateerd aan andere internetconnectiviteit, bieden automatic updates de leverancier (en bij onjuiste implementatie -dat zou niet voor het eerst zijn-, mogelijk derden) een backdoor in jouw systeem.

Hele opmerkelijke beredeneringen die je hier maakt, sta me toe:
1) Doordat bug vrije software niet bestaat DUS zijn automatic updates een IB-risico wat maar geaccepteerd moet worden.
2) - Automatic updates zijn een beveiligingsrisico.
- Wanneer een applicatie verbonden is met het internet heeft het inherent grote beveiligingsrisico's.
(note: Alsof je anders je verbinding niet had ingeschakeld zeker... een systeem verbind met het internet, een applicatie maakt gebruik van een verbinding. Die verbinding is er dus sowieso al. )
3) Automatische updates bieden per definitie een backdoor op een systeem (DOORDAT er in het verleden een onjuiste implementatie is geweest.)

Welke garanties heb je dat Microsoft in de toekomst geen nieuwe deals sluit met bloatware/adware leveranciers en je andere meuk opdringt?
Ook Microsoft heeft een privacy beleid, EULA en werkt onder relevante wet- en regelgeving.

Misschien "leuk voor thuis", maar op professionele systemen is het ongewenst dat deze "naar huis bellen" met leveranciers waar je geen overeenkomst mee hebt (aanvulling 11:20),
Dit is waarom ik het belangrijk vind dat security officers iets van de ICT meekrijgen. In een professionele context maak je een eigen image wat je uitrolt naar een PC. Beheerders zijn in de regel wel zo slim om alle games eruit te halen.

Aangezien een absoluut veilig systeem niet bestaat, moet je, afhankelijk van de toepasing, streven naar een compromis tussen werkbaarheid en veiligheid. Voor de meeste zakelijke systemen betekent dit in elk geval dat je niet wilt dat leveranciers van software, waar je notabene voor betaalt, jou ongewenste crapware door de strot douwen.
Hierom maak je dus ook je eigen image. Het feit dat Windows dat ondersteund is ook functionaliteit waarvoor je betaald.

Bij dit soort discussies moet ik altijd denken: " This is why management doesn't take us seriously."
Informatiebeveiliging moet je risk-based invoeren. Je mitigeert onacceptabele risico's en accepteert de theoretische risico's van 0.01% kans op voordoen.
Ja het is in theorie mogelijk dat candy crush een update uitrolt met een security issue (net zoals het ook mogelijk is dat ze updates uitrollen die security versterkt) waarbij een aanvaller gebruik kan maken om wellicht een overzicht te krijgen van top 10 candy crush spelers in je organisatie.
Ik wou dat dat ik de tijd had me zorgen te maken om dit soort dingen... wat een luxe.
17-05-2015, 08:20 door Erik van Straten
Dank aan allen voor de reacties tot zover!

Door Anoniem: Wat is het verschil tussen Windows 7's patience en Windows 10's Candy Crush?
Patience, calc en paint zijn van Microsoft en worden, indien nodig, door Microsoft van (security) updates voorzien. De laatste twee zijn voor veel zakelijke gebruikers nuttige applicaties. Bovendien hebben ze een relatief laag risicoprofiel doordat ze, voor zover ik weet, geen internet verbindingen ondersteunen.

Door Anoniem: Waarom pak je alleen Candy crush aan?
Omdat dit nu in het nieuws is. Daarnaast noemde ik (vóór jouw bijdrage) ook Adobe Flash. Mijn voorkeur is dat Microsoft geen third party software levert. Doet ze dat wel, dan s.v.p. onder haar verantwoordelijkheid (oude versies van MSIE werden pre-installed met Java en Flash uitgeleverd, maar je moest vervolgens zelf maar voor updates zorgen - dat is in elk geval veranderd).

En omdat we bij Lenovo hebben gezien dat als je een commerciële boer een vinger geeft, die boer jouw hele hand kan nemen, moet je dit niet willen.

Door Anoniem: sta me toe:
1) Doordat bug vrije software niet bestaat DUS zijn automatic updates een IB-risico wat maar geaccepteerd moet worden.
Ja, helaas is dat zo, in elk geval bij software met internetconnectiviteit is dat nodig om ASAP security updates te installeren. En die check zelf betekent al internetconnectiviteit - ook al maakt de software zelf geen internet verbindingen en/of verwerkt deze geen untrusted input.

De meeste software tegenwoordig checkt regelmatig (of bij opstarten, of installeert er zelfs een service voor - die "natuurlijk" met maximale privileges draait) of er updates beschikbaar zijn. Als die er zijn wordt lang niet altijd beschreven wat er gewijzigd is en waarom; kwetsbaarheden worden soms (vaak?) verzwegen, in de hoop hen, die niet bijtijds patchen, te beschermen.

Daarbij, op sites als security.nl zijn vrachtladingen kwetsbaarheden beschreven in gebruikte updateprocessen (niet alleen bij Windows software trouwens).

Door Anoniem: 3) Automatische updates bieden per definitie een backdoor op een systeem (DOORDAT er in het verleden een onjuiste implementatie is geweest.)
Niet noodzakelijkerwijs "DOORDAT er in het verleden een onjuiste implementatie is geweest".

Elke updater die met adminrechten draait kan gedownloade software (-updates) rechten naar keuze geven, instellingen wijzigen, browserplugins installeren, certificaten toevoegen, toegang tot camera en microfoon geven, jouw bestanden versleutelen en/of een rootkit/keylogger installeren (bijv. om valsspelen en/of illegale kopiën te voorkomen). Je zult de leverancier en z'n personeel dus moeten vertrouwen, hopen dat ie niet gehacked is en z'n updateproces veilig is.

Ook als de updater niet van de leverancier stamt loop je risico's: de ervaring leert dat elke manier om rechten van software in te perken (sandboxes) by default meer rechten geeft dan je op veel soorten systemen wenst (https://youtu.be/ss5zYN2y_LE), en bovendien in de praktijk vaak te omzeilen blijkt.

Door Anoniem: Ja het is in theorie mogelijk dat candy crush een update uitrolt met een security issue (net zoals het ook mogelijk is dat ze updates uitrollen die security versterkt) waarbij een aanvaller gebruik kan maken om wellicht een overzicht te krijgen van top 10 candy crush spelers in je organisatie.
Ik wou dat dat ik de tijd had me zorgen te maken om dit soort dingen...
Die laatste zin lezend vraag ik mij af hoe groot jouw ICT security ervaring en kennis zijn.

Mijn ervaring is enerzijds dat cybercriminelen de laatste jaren alle mogelijkheden aangrijpen om ongeautoriseerde toegang tot computers te krijgen. En anderzijds dat de meeste "sandboxes" en andere maatregelen die moeten voorkomen dat aanvallers veel meer kunnen dan jij beschrijft, zo lek blijken als een zeef.

Elk "meegeleverd" (op welke wijze ook) commercieel third party product is een potentiële aanvalsroute voor cybercriminelen, en een spel als Candy Crush biedt geen enkele meerwaarde op computers voor professioneel gebruik. Lang niet elke onderneming en organisatie heeft de luxe van beheerders die "schone" images maken (winkeliers en andere MKB, huisartsen etc). Ik blijf bij mijn standpunt dat meeleveren van Candy Crush met W10 onevenredig grote securityrisico's met zich meebrengt; mensen die zo'n spel willen kunnen het eenvoudig zelf downloaden.
17-05-2015, 19:34 door karma4
Door Erik van Straten: Dank aan allen voor de reacties tot zover!

Erik de belangrijkste heb je vergeten. Professionele organisaties gebruiken die automatische updates niet.
Er komt gewoon de zelfde aanpak als eerst http://blogs.technet.com/b/packagemanagement/archive/2015/04/29/introducing-packagemanagement-in-windows-10.aspx Voor het MKB is het simpel, ze gaan of in de cloud (b.v. MS Azure) en ze hebben er geen last van of er is een leverancier die iets levert. Ze (MKB) zitten vaak vast aan "applicaties"van derden. Het is geen luxe maar een noodzakelijke bedrijfsinvestering. Blijft er tenminste genoeg werk te doen voor de vele kleine ICT bedrijfjes om daarin te voorzien. Groot probleem is wel de aansprakelijkheid. ICT-ers die als betweters zelf wat gaan doen kunnen in grote problemen komen.

Blijft over de thuis ./ zolderkamer. Het is maar net wat ze er voor over hebben. Willen ze off-the-shelf via internet of met support van een locale verkoper. Moet hij wel support leveren. Zie de kansen en keuzes voor ondernemers om er wat mee te doen. Ook hier: Let wel op de aansprakelijkheid.

Sandboxes is meer iets van de professionele markt. En ja die blijken vanilla/uit de box vaak lek. Ook hier gaat het op dat kwaliteit geld kost. Dat heeft men er gewoonlijk of niet voor over of men weet niet wat kwaliteit is en laat zich bedotten.
Bij welk bedrijf werk jij eigenlijk dat er geen eigen desktop beheer is?
Enne sandboxes zoals Docker daar zitten delen onder die eisen dat je met root werkt. Dat kan toch niet.
19-05-2015, 00:36 door Erik van Straten
17-05-2015, 19:34 door karma4: Erik de belangrijkste heb je vergeten. Professionele organisaties gebruiken die automatische updates niet.
Inderdaad, er zijn organisaties die helemaal niet updaten, zie https://www.security.nl/posting/428897/FBI+waarschuwt+voor+werkwijze+cyberspionnen. Maar ik neem aan dat je dit niet bedoelt.

Ik neem ook aan dat je het met me eens bent dat third party apps kritische (security) kwetsbaarheden kunnen bevatten en soms ASAP geüpdate zullen moeten worden.

Laten we uitgaan van organisaties die wel updaten, alleen via een enigszins gereguleerd proces. In mijn ervaring betekent dat ofwel uitsluitend security-kritische updates installeren, ofwel zelf een klein beetje testen en een paar dagen wachten of er op Internet geen problemen worden gemeld - en dan uitrollen. Software is nou eenmaal zo complex dat je onmogelijk alles kunt testen voordat je updates uitrolt - het blijft gewoon een gok, en rollbacks bieden uitkomst als het een keer fout gaat (helaas wel vaak de laatste tijd). Voor organisaties die "zo goed mogelijk" updaten geldt:

- Met WSUS mag je alles m.b.t. third-party software zelf uitzoeken. Het laatste dat je dan wilt is dat jouw softwareleverancier, achter jouw rug om (okay, "bekendgemaakt" via xbox.com), third-party software installeert waarvan je moet uitzoeken hoe je dat wegkrijgt c.q. de installatie permanent voorkomt, en zo niet, hoe je die software up-to-date kunt houden, in elk geval bij kwetsbaarheden (dat lijkt me verstandig).

- M.b.t. Metro apps: deze horen zichzelf te updaten via de Windows Store. En hoewel Microsoft "regels" heeft opgesteld voor app-makers (https://msdn.microsoft.com/en-us/library/windows/apps/dn764944.aspx) en, naar verluidt, apps grondig gecheckt worden, staat er een hoop crap in die store (zie http://www.tomsguide.com/us/microsoft-infested-windows-store,news-19369.html).

Maar laten we ook hier positief zijn en ervan uitgaan dat alles uit de Windows App Store betrouwbaar is. Nu kun je aan kwaadaardige ontwikkelaars vriendelijk vragen of ze niet buiten de Windows store om willen updaten, maar hoe voorkom je dat als de app internetconnectiviteit heeft? Zie ook 10.2.2 in de eerdergenoemde "regels". Nb. ook bij Android speelde dit: http://www.cnet.com/au/news/google-no-app-makers-you-cant-skip-the-play-store/.

Na wat Googlen: als je zorgt dat value-name AllowAllTrustedApps de waarde 0 heeft (onder HKLM\\Software\Policies\Microsoft\Windows\Appx\) dan kan de gebruiker, als het goed is, uitsluitend apps downloaden+installeren uit de Windows App Store. En hopelijk voorkomt dit ook dat updates buiten de app store kunnen worden gedownload. Waterdicht krijg je dit natuurlijk nooit, want als de app een stuk versleutelde code bevat dat pas ontsleuteld en actief wordt als de (toch minder frisse) ontwikkelaar na enkele weken een bestandje met de sleutel vrijgeeft en de app deze downloadt, ben je alsnog de sjaak.

En als je AllowAllTrustedApps de waarde 1 geeft (bijv. omdat jouw organisatie eigen "enterprise" apps maakt), dan kan de gebruiker, als ik het goed begrijp, elke willekeurige app vanaf elke willekeurige site downloaden en installeren - mits deze een geldige digitale handtekening heeft (Microsoft heeft, na al die jaren, nog steeds niet begrepen dat een digitale handtekening niets zegt over de betrouwbaarheid van een object, anders had ze deze registerwaarde wel AllowAllSignedApps genoemd).

Er "komt gewoon"? Dat lijkt mij de zoveelste aankondiging uit Redmond waarvan je eerst maar eens moet zien of het aanslaat, wanneer de ergste kinderziektes eruit zijn en of Microsoft dit open source proefballonnetje blijft ondersteunen. Voorlopig zitten we met het huidige update model voor apps:

Samenvatting uit http://www.infoworld.com/article/2614555/microsoft-windows/microsoft-s-new-security-patching-routine-raises-concerns.html:
- There's no advance warning a patch is coming.
- There's no warning when you install the patch.
- You can't roll the patch back.
- There are no version numbers and no revision history.
- There are precious few details about the patch.

In http://blogs.technet.com/b/canitpro/archive/2014/02/19/windows-8-1-tips-disabling-automatic-windows-store-app-updates.aspx wordt beschreven je de automatische updates van Windows Apps kunt disablen (alles of niets dus).

Uit https://support.microsoft.com/en-us/kb/2971128:
When you are connected to the Internet, Windows 8 and 8.1 clients obtain updates to Windows Store apps directly from the Windows Store app (visible on the Windows Start screen).

To update these Windows Store apps on computers that cannot connect to the Windows Store site by using the Internet, Microsoft has a collection of downloadable updates available on the Windows Update Catalog. These updates can be distributed by using System Center, WSUS and third-party equivalents, or slipstreamed into the operating system image that is used by your organization.

The intent of this process is not to bypass the Windows Store, but to enable computers that cannot connect to the Windows Store to update Windows Store apps on a recurring basis.
[...]
Can third-party Windows Store apps be updated by using this process?

No. The developer of the third-party app can make available the package, and it can then be sideloaded (https://technet.microsoft.com/en-us/library/hh852635.aspx) similar to line-of-business apps.
[...]
M.a.w., wel WSUS voor Microsoft app updates, maar geen WSUS voor third-party app updates uit de Windows App Store.

17-05-2015, 19:34 door karma4: Voor het MKB is het simpel, ze gaan of in de cloud (b.v. MS Azure)
Wat heeft dat in hemelsnaam met meuk op een desktop PC/notebook te maken waar bijvoorbeeld kleine bedrijven en ZZP-ers hun administratie op doen?

17-05-2015, 19:34 door karma4: Sandboxes is meer iets van de professionele markt.
?
Java applets draaien al jaren in een sandbox (die ziet er ondertussen uit als een fietsbinnenband met heel veel plakkers), Chromium (en afgeleide webbrowsers) gebruiken een sandbox, en Adobe Reader ook sinds v10. En Windows Metro apps draaien in een AppContainer, ook een sandbox.

In http://www.computerworld.com/article/2498240/operating-systems/why-microsoft-could-let-appcontainer-take-over-windows.html wordt een potentieel voordeel van sandboxed apps beschreven (vet aangebracht door mij):
You see, the Windows desktop adds significant management and compliance drag. In the U.S., the EU and elsewhere, complex, restrictive laws regulate the Windows desktop environment and add to the challenges with the traditional Windows desktop. The U.S. National Institute of Standards and Technology (NIST) provides a comprehensive list of control points for desktop and laptop operating systems, widely used as a guide for regulators globally. To comply with the U.S. Government Baseline Configuration (USGCB) requirements, for example, means electronically enforcing some 360 control points on a Windows PC, from antivirus to individual Registry settings. That's a lot of work and kills much of the PC's utility. But there is no direct USGCB analog for newer smartphone and tablet operating systems. True, the current NIST guidance calls out roughly 63 control points for them, but most are pretty simple to enforce, such as requiring a device lock passcode for device configuration to be considered adequate.

But here's the thing: A Windows 8 tablet still falls under the NIST guidelines for a full desktop or laptop OS because the Windows desktop environment makes it a PC. But I'd bet my mom's Tupperware that the Windows 8 AppContainer on its own (without the Windows desktop) would fall under the lighter compliance requirements for a mobile OS because it is its own self-contained execution environment. In other words, if Microsoft could see enough applications for AppContainer to make a Windows device valuable and desirable without the Windows desktop, it could strip out the Modern UI and probably get out from under the audit controls that currently apply to the PC.
Da's mooi, maar als een door een gebruiker gedownloade app om allerlei privileges vraagt en de gebruiker dat niet begrijpt/geen zin heeft om te lezen, en dus "ja" klikt, staat de deur alsnog open.

Bovendien: het idee van sandboxed apps staat alweer op de helling... Mogelijk omdat het aantal bruikbare apps in de store te ver achterblijft bij Google en Apple, heeft Microsoft de distributie van "gewone" Win32 desktop applicaties via de Windows Store aangekondigd: volgens http://www.theregister.co.uk/2015/05/06/windows_10_project_centennial/?page=2 zullen die niet meer in een sandbox zoals AppContainer draaien. Uit die pagina (vet deels aangebracht door mij):
Oops, no sandbox

Project C apps are not sandboxed in the same way as Universal Apps, though they are a little more restricted than traditional Win32 applications.
[...]
The auto-update mechanism is also smart, he said, so that only changed files, or potentially just the difference between a file and its new version, gets downloaded.

Security is the big weakness of Project C. "Early on we erred on the side of not doing it, but we trust you guys," Sheehan told developers at Build, somewhat through gritted teeth. A malicious Project C app could do damage, though it has to get through Microsoft's approval procedures before it can be listed in the Store. "We have kill-bit mechanisms," Sheehan added, in the case that malware slipped through.
[...]
Als deze "Win32 Apps" daadwerkelijk de beschreven rechten gaan krijgen (dus buiten een sandbox draaien) zie ik niet hoe je kunt voorkomen dat goedaardige apps, oorspronkelijk uit de Windows Apps Store, later kwaadaardige executable aanvullingen "sideloaden" (dus niet via de Windows App Store). Fijn te weten (not) dat er wel een killbit zal komen nadat je bestanden door "slipped through" ransomware zijn versleuteld.

Kortom: de grens van wat Microsoft op een gemiddelde PC acceptabel vindt (tussen beveiliging/verlagen van risico's en het geven van mogelijkheden aan software, inclusief spelletjes), gaat als een jojo heen en weer. En door 1 Windows voor alle devices aan te kondigen (http://www.neowin.net/news/nadella-talks-about-windows-vnext-one-converged-operating-system) en nu Candy Crush op (naar verluidt) elke Windows 10 variant mee te leveren/na installatie te pushen, versterkt Microsoft het beeld dat ze lak heeft aan zakelijke gebruikers.
19-05-2015, 20:42 door karma4
Goh erik wat een lang verhaal, ik dacht dat ik langdradig was. Om te beginnen, er zijn 4 situaties:
1. professioneel grootgebruik (cloud of in-house)
2. professioneel midden en klein bedrijf
3. gewoon thuisgebruik Ingrid&henk
4. de hobbyist en thuis-onderzoeker
Laten we ze niet door elkaar gaan gooien zoals in de berichtgeving kennelijk wel gebeurd.

Ad 4/ De hobbyist en thuis-onderzoeker
Die maken wel veel lawaai met verkondigen van een mening. Ze zijn daarbij eerder gevaarlijk dan oplossend.
Wat hun mening exact is, is verder niet echt belangrijk voor de echte waarheid.

Ad 3/ gewoon thuisgebruik Ingrid&henk
Deze willen gewoon iets werkends hebben wat niet te veel kosten en werk met zich meebrengt. De impact met dataverlies kan emotioneel (foto's) zijn. Privacy is wel een aandachtspunt maar die wordt net zo makkelijk weggegeven als er iets van korting is. Candy Crush zullen eerder leuk vinden dat het er is, net als patience of chess (mac).
Heel veel discussie is het onderwerp hier niet waard. Een autoupdate is voor het gemak (internet verbonden) risico/impact hier vermoedelijk de beste strategie. Andere alternatieven geven meer negatieve gevolgen.

Ad 1/. professioneel grootgebruik (cloud of in-house)
Die hebben genoeg massa om alles goed te kunnen doen. Ik zeg KUNNEN omdat ze door onkunde mismanagement bokitootjes en wat meer nog steeds het recht hebben om het een grote chaos met alle fouten te laten worden. Prima voor adviesbureaus die daar weer werk aan hebben. NIST is een goed framework, ik zou eerder ISO27K Nen7510 en meer van die aanwijzingen nemen. Het zijn aanwijzingen waar het management van een bedrijf iets mee moet. De controlpoints zijn van het "follow or explain". Dit gaat beslist niet enkel over een desktop maar over het complete informatieproces.

Met het draaien van VM virtual-machines in Citrix-park waar dan met Java virtual machines in een bubbled (softgrid) gesloten desktop heb je van alles draaien in zeer veel geneste sandboxes (technisch). Die op zich goed scheiding wordt daarna onderuit gehaald omdat:
- de gebruiker zelf software wil installeren of
- de gebruiker software door een eigen gecontracteerde externe leverancier wil laten doen en laten ingrijpen wat er is.
- open verbindingen met de buitenwereld (internet) omdat het support dan zo handig.
- op advies van secuirtyspecialisten alles onder shared grouped service-accounts draaien
- op advies van securityspecialisten de preventieve security inrichting (hardening) laten vervallen door log-analyses achteraf.
Lach niet, bij nist en iso27k de aanwijzing: doe het niet. Het zijn overigens ervaringen waarnmingen uit de praktijk.

Ik had het niet over javascript in de browser maar java op de desktop/werkplek dan wel server omdat er zo veel rondzwerft dat specifiek een bepaalde java versie wil hebben. Het kan/mag niet shared zijn. En ja, dat probleem kan in de browser terugkomen. Ook dat gebeurt zelfgebouwde toepassingen die alleen met een bepaalde versie van een plugin werken.
Nee de domheid van mensen is oneindig (Einstein quote)

Je druk maken over deze group is niet nodig.
Ze zouden moeten weten hoe het moet en het ook kunnen. Falen ze dan kunnen ze bij een adviesbedrijf terecht.


Ad 2/. professioneel midden en klein bedrijf

17-05-2015, 19:34 door karma4: Voor het MKB is het simpel, ze gaan of in de cloud (b.v. MS Azure)
... Wat heeft dat in hemelsnaam met meuk op een desktop PC/notebook te maken waar bijvoorbeeld kleine bedrijven en ZZP-ers hun administratie op doen?
Wezenlijk mijn waarde. Cloud processing SAAS betekent dat er niets meer op de desktop achterblijft. Wat er niets is kan ook niet beschadigd raken. Risico/impact op de desktop veranderd daarmee geheel. Er zijn genoeg aanbieders in de markt die dat als sales argument gebruiken. Salesforce.com workday en neem exact accountnet of wat dan ook.

Wat is klein? Ik denk dat een bedrijf met 1000 werkplekken (nog steeds MKB) voldoende massa heeft om in huis dat op te pakken. Daaronder is het gewoon te klein. Neem b.v. een bedrijf met ca 100 man ( :<) en 30 werkplekken. Dan gaat het echt niet werken om een goede ICT organisatie op te tuigen. Ook als ICT bedrijf van die omvang kom je er niet mee weg, je moet mensen en ervaring en draagvlak met continuiteit hebben. Zelfs de grotere ICT bedrijven die bij outsourcing al het personeel overnemen hebben er problmen mee (vul namen maar in ...).
Deze groep (MKB) zullen op een gegeven moment de desktop (DAAS) in de cloud hebben. Problem solved.
De bedrijfstoepassingen in een eigen datacenter beheren (net DR etc) is ook niet meer van deze tijd.

Alhoewel .... Vertrouwen is goed echter http://www.bbc.com/news/technology-32513066 hoe kan het dat het massaal op hetzelfde moment uitvalt. Zouden ze ooit daar de gangbare richtlijnen van betrouwbaarheid op afgelopen hebben of gewoon aangenomen hebben dat er nooit wat mis zou kunnen gaan.
Dat aannemen dat het wel goed is en niet aan risico/impact doen, is het slechtste wat je kunt doen.

Stel je gebruikt een lap-top voor iets kritisch bijvoorbeeld een ultracentrifuges of een olietanker / mammoet operatie. Dan is niet handig om die aan het internet te hangen en voor spelletjes te gebruiken. Isoleren en afblijven is het devies. In dat geval juist niet bijwerken voor updates (risico/impact) Mooi voorbeeld minuteman 8-inch floppen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.