Column: Windows XP lek: wie draait voor de gevolgen op?
Ondanks een groot aantal verbeteringen blijkt Windows XP, het
langverwachte nieuwe besturingssysteem van Microsoft, toch niet zo
veilig als haar ontwikkelaars hadden gedacht. Drie
beveiligingsondernemers, waaronder ex-hacker Marc Maiffret, braken
tijdens een recente demonstratie in op de laptop van een verslaggever en
lieten deze meermalen inbellen bij de National Security Agency.
Microsoft gaf gisteren toe dat een gat van deze ernst tot op heden nog
niet was voorgekomen in de geschiedenis van Windows. Het bedrijf dringt
er dan ook bij de vele miljoenen professionele gebruikers en
thuisgebruikers op aan om een onlangs geschreven patch meteen te
installeren. Het probleem wordt veroorzaakt door een specifieke
XP-functionaliteit: ``universal plug and play''. Deze nog weinig
gebruikte feature stelt gebruikers in staat hun hele huis via de PC `aan
te sturen'. Een zorgwekkende zaak, zeker omdat talloze professionele- en
thuisgebruikers zojuist op het nieuwe, stabiele OS zijn overgestapt.
Misbruik van zo'n lek brengt een aantal interessante vraagstukken met
zich mee. Wie is er verantwoordelijk voor schade die -bewust- wordt
toegebracht aan de computer van een ander? Via het XP lek zou iemand de
harde schijf van een op het internet of netwerk aangesloten PC kunnen
herformatteren. Of wormen en virussen verspreiden. Het slachtoffer hoeft
zich niet eens per definitie duizenden kilometers verderop te bevinden,
maar kan ook bij hetzelfde bedrijf werken. Kwaadwillende PC gebruikers
zouden vanaf hun eigen bureau -of vanaf andermans werkplek- ernstige
schade kunnen aanrichten. Stel, dat een malafide werknemer via zo'n lek
elders grote schade berokkent: het wordt voor de werkgever onmogelijk
aan te tonen wie daarvoor verantwoordelijk is geweest. Een oplossing zou
kunnen zijn om doorlopend alle activiteiten op het netwerk te laten
monitoren, zodat afwijkingen van het bedrijfsbeleid automatisch
gesignaleerd kunnen worden. Of neemt u liever het risico?
Ben van Laarhoven
CONSUL Risk Management
Misschien tijd voor een uitdaging. Probeer in de volgende column niet je dienst te verkopen maar jezelf, met in je achterhoofd de gouden regels: Sell yourself, sell your company, sell your product.
En als dat niet lukt laat dan advertorial boven je column zetten. Kan ik hem overslaan.
Succes!
Te LATEN monitoren...jaja.
nogmaals..
WAAR ZIT DE UN-REGISTER BUTTON? !!!!
De pret is er wel af nu..
Ondanks een groot aantal verbeteringen blijkt Windows XP, het langverwachte nieuwe besturingssysteem van Microsoft, toch niet zo veilig als haar ontwikkelaars hadden gedacht.
Posted: 31/05/2001
Windows XP will make Internet unstable - top security expert
http://www.theregister.co.uk/content/4/19332.html
Verder zijn onderstaande bugs op dit moment al bekend. (OS related! ipv eventuele applicaties die draaien onder dit OS!)
2001-12-20: Microsoft UPnP NOTIFY Buffer Overflow Vulnerability
2001-12-20: Microsoft Universal Plug and Play Simple Service Discovery Protocol Denial of Service Vulnerability
2001-12-20: Microsoft Windows C Runtime Library Format String Vulnerability
2001-12-19: Microsoft Windows XP Fast User Switching Account Lockout Vulnerability
2001-12-19: Microsoft Windows XP Remote Desktop Plaintext Username Vulnerability
2001-12-17: Microsoft Windows XP Unauthorized Hotkey Program Execution Vulnerability
2001-11-15: Microsoft Windows Terminal Services False IP Address Vulnerability
2001-11-01: Microsoft UPnP Denial of Service Vulnerability
2001-10-29: Microsoft Windows 2000/XP GDI Denial of Service Vulnerability
Drie beveiligingsondernemers, waaronder ex-hacker Marc Maiffret, braken tijdens een recente demonstratie in op de laptop van een verslaggever en lieten deze meermalen inbellen bij de National Security Agency.
Als tweede is er geen objectieve waarneming geweest van schrijver. (die telefoonnummers zal je wellicht niet onder de N vinden in een telefoonboek)
Verder vergeet auteur te vermelden dat Mark Maiffret werkzaam is voor Eeye die ook security oplossingen verkoopt, en zo nu en dan -geniaal- met veel herrie een exploit -en soms een oplossing- in de markt los laat.
Maar aangezien ze bij Consult -kennelijk- niet verder kijkt dan hun neus lang is, weten ze niet, dat Eeye over het algemeen 'hun' gevonden bugs, en producten kopen. (toch algemeen bekend als je enigzins geïnformeerd bent over de bugs&exploit wereldje)
En alle rechten op die manier verwerven, om vervolgens als eigen R&D effort te verkopen.
Dit doen ze aardig slim, zie ook url's hieronder.
http://www.attrition.org/mirror/attrition/2000/12/15/www.eeye.com/
http://vnunet.com/News/1115570
Een zorgwekkende zaak, zeker omdat talloze professionele- en thuisgebruikers zojuist op het nieuwe, stabiele OS zijn overgestapt.
Ik betwijfel het dat er al organisaties te vinden zijn waarop op alle werkstations XP is geïnstalleerd.
Verder vraag ik me af welke afwegingen zijn gemaakt om te constateren dat windows XP als stabiele OS te kwalificeren valt.
Immers een OS -of welk product dan ook- heeft een begin of life cycle en een eind.
Ergens daar tussen in -hopelijk- zal hij als stabiel te kwalificeren kunnen zijn.
(bij risico analyses houdt je daar dus rekening mee!)
Via het XP lek zou iemand de harde schijf van een op het internet of netwerk aangesloten PC kunnen herformatteren. Of wormen en virussen verspreiden
Dus uPNP is het enige manier om op een XP machine te misbruiken?
Ik denk eerder dat het inherent is aan internet infrastructuur en daar overheen gebruikte protocollen en functionaliteit dat er ongewenste handelingen gedaan kunnen worden, ongeacht het gebruikte besturing systeem.
Iemand die hieraan twijfelt moet maar een man netcat doen, om het te begrijpen wat hier mee wordt bedoelt. (of je moet een OS zonder applicaties willen gaan gebruiken ;-))
Een oplossing zou kunnen zijn om doorlopend alle activiteiten op het netwerk te laten monitoren, zodat afwijkingen van het bedrijfsbeleid automatisch gesignaleerd kunnen worden. Of neemt u liever het risico?
Te laten monitoren? SLA afspreken, en met gerust hart naar bed. ;-)
Afgezien daarvan vraag ik mij af hoe je zaken wilt monitoren die afwijken van bedrijfsbeleid....
Zou je niet eerst je 'bedrijfsbeleid' technisch willen afdwingen, lijkt me een stuk goedkoper, dan telkens op false positives te reageren, om er vervolgens na een echt incident achter te komen, dat monitoren van onbekende methodieken & bugs/exploits vrijwel onmogelijk is. (tenminste monitoring zal nooit een iets tegenhouden, terwijl dat je eerste doel zou moeten zijn)
Ook is het te zien dat meneer -zoals hierboven terecht is geconsteerd- iets probeert te verkopen.
Ik zou beginnen bij een OS die op dit moment nog steeds marktleider is bij bedrijven, immers particulieren -die voornamelijk de early adopters zijn- kunnen Consult toch niet betalen.
Verder heeft Consult wel een goede naam in de mainframe wereld, ze hebben wat tooltjes gemaakt, maar aangezien ze ingehuurd zijn, blijft de vraag of degene die tevreden zijn wel daarover kunnen oordelen, immers anders zou je ze niet in huren -of juist ter controle-.
En aangezien de aantal mensen in Nederland die een mainframe in assembler kunnen programmeren op een aantal handen te tellen is, ben ik bang dat we er wellicht nooit achter zullen komen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
