Gaan we weer een spannende tijd tegemoet, dit keer voor die Linux-gebaseerde apparaten, waarbij de eigenaren niet hoeven te rekenen op updateregimes van fabrikanten? IoT apparaten keurmerk, hoofdstuk "onderhoud en beheer" invullen graag, heren fabrikanten. Anders blijft het dweilen met de kraan open.

Workaround voor deze en toekomstige situaties: Koop een normale PC voor backup/NAS/IoT doeleinden en richt deze in met vertrouwde software die de patch gisteren al ontvangen hebben ;)

De thuisgebruikers zitten meestal achter een modem/router, dit werkt ook als een hardware firewall.
Zet je een FTP poort open in je router, dan heb je doelbewust het risico genomen.

Beter is: De rekening dus neerleggen bij de Linux meuk ofwel al die IOT apparaten waardoor gebruikers en IOT troep-bakkers klagen dat het hun schuld niet is maar die van MS terwijl deze IOT-prutsers die troep gemaakt hebben.

Overigens de standaard SMBv1 komt van IBM kun je gewoon vinden op internet. Als met de ICT ontwikkelingen had meegedaan zat dat als basis al tussen de oren.

En daar gaan we weer, steeds die onzinnige vergelijking met een OS, het moet toch duidelijk zijn dat
een programmeur fouten maakt voor elk OS.

Mooi bedacht... Maar werkt niet. De consument snapt dit toch niet.

Voor de gemiddelde consument is een normale PC en deze in te richten als NAS of IOT niet te doen. Gelukkig zijn er gewoon goede en betaalbare NASsen die de ondersteunding wel goed voor elkaar hebben. Maar heel veel IOT devices, dat is gewoon 1 groot gat, waar we heel veel ellende van gaan krijgen in de toekomst.


Leuk bedacht. Maar tussen schuld en aansprakelijk zitten nog wel grote verschillen.
Zolang je een device voor 15 dollar kan bestellen via Internet, dan kan je verwachten dat dit een niet optimaal securlty beleid heeft. Maar dat zal de consument een rot zorg zijn. Een goed merk kost minimaal 5-10 maal zoveel. Waar denk je dat ze dan voor kiezen? En weer een IOT device dat gehacked wordt.....
Dit is gewoon hoe het werkt....


Waarom zou MS aansprakelijk moeten zijn om SMBv1 standaard aan te hebben staan? Dat het niet optimaal is, is iets anders. Maar voor legacy is dit nog gewoon in heeeeeeeeeeeeel veel omgevingen nodig. Iets waar zelfs standaard gebruikers nog last van kunnen hebben.

Die Linux meuk bestaat voor een groot deel uit onbetaalde vrijwilligers, je krijgt nooit garantie op iets dat gratis is.
De IoT makers, die geen mogelijkheid inbouwen om hun troep te updaten, dat zijn de schuldigen.

Dit zijn juist de antwoorden van de personen die denken alles beter te weten. Karma kijkt juist vanuit een ander perspectief naar issues. Juist punten, waar pijn punten naar voren komen. Iets waar juist veel personen omheen lullen en denken dat ze de oplossingen hebben. Terwijl ze er vaak juist naast zitten of ver van de werkelijkheid af staan.

Maar "een ander" noemt dat juist weer afkraken

Al is hij zeker soms erg onduidelijk en komt hij met punten aan, waar je je afvraagt wat dit nu wilt bereiken.

Ik hoop dat je meer geluk hebt in de staatsloterij, want wedden is niet je sterke punt.

Een IoT certificaat of keurmerk zou beter gedrag van fabrikanten juist toetsbaar kunnen maken, zonder dat consumenten iets meer hoeven te snappen of te doen. Laten we eens beginnen met spullen te kopen die ons niet bespioneren. Ehhh nou nog een PC WINKEL VERKOPER vinden, die dit begrijpt...

Anoniem je voelt het heel goed aan, ik voel me zowat bespied.

Ik heb met geen enkel groot commercieel ict bedrijf te maken. Ik heb enkel last van ze hoe een en ander met eigen agenda's gedaan wordt. Ik voel geen financiële druk meer om werk te hebben. Dan is de vraag voor wie ik werk geheel zinloos.
Als je die vraag zelf wel belangrijk vind zegt dat iets over de vraagsteller zelf.

Ik doe het omdat werk leuk vind stil gaan zitten is dan niet zo gezond. Zorgelijk is de ronduit slecht begrip voor informatiesecurity data governance. Dat is een deel van de motivatie.

De commerciële desktop aanpak is vaak erg lastig door serviceafspraken. Daar valt nog mee om te gaan de betreffende beheerders zijn redelijk in de omgang. De mainframe wereld is krimpen maar daar valt/viel ook nog zaken mee te doen.
De linux server beheerders en oss tools is een ander verhaal mijn ervaringen zijn niet positief communicatief geblokkeerd voor een bedrijfsdoel. Helaas wordt die houding hier op dit forum bevestigd.

Maar los van ergens de schuld te gaan zoeken. Het blijft een kwestie van trust. En die trust is kennelijk ergens toch heel fundamenteel ondermijnd.

In het algemeen gesproken zien we een infrastructuur, die a priori zeer onveilig is of kan zijn. Uit mijn anderhalf decenium lange ervaring met website veiligheid, kan ik wel stellen, dat of heel veel gevaarlijk of potentieel gevaarlijk genoemd kan worden en met enige kennis van zaken vrij snel te compromitteren valt. Het is letterlijk veredelde gatenkaas.

De discussie zou dus moeten gaan over het botte feit, waarom er niets aan gedaan wordt? Waarom de situatie zo is al ie is gegroeid?

Reich heeft Javascript ontwikkeld, maar zo had het nooit aan het Internet gehangen moeten worden. PHP is leuk, maar hoe hou je het veilig? Waarom wordt niemand gedwongen tot back-ups, patches en juist implementeren?

Waarom worden sites die een gevaar vormen voor de bezoeker niet eenvoudigweg neergehaald, geblokkeerd of gesinkholed, totdat de minimale veiligheid van de site is gegarandeerd. Wie willen dit niet???

Dan zien we dat er wel veel gepraat wordt en er weinig daadwerkelijk verandert. De toezichthouders doen weinig.
Alles wat je doet ter bescherming moet je zelf doen. Wat grote spelers doen is vaak kosmetisch en mag hun verdienmodel niet in de weg zitten.

Er zijn een paar mensen geweest die op weg wilden naar wat meer veiligheid. Ik denk aan figuren als Giorgio Maone,
Benny Edelmann (adware excessen), R. Stallman, maar ze zijn roependen in de woestijn gebleven en preekten voor een eigen klein parochie van gelijkgestemden of mensen met het nodige inzicht.

Opleiden met oog voor veiligheid gebeurt ook nog maar mondjesmaat en dit soort mensen zit ook vaak op de eigen kennis en deelt dat niet met de gemeenschap. Buiten Technische IT , die een online lambda generator weet te bedienen en reguliere expressies toepast, is beveiligingskennis een duur en zeldzaam goed.

Ik weet echt niet meer, wat we moeten doen om verbetering in de situatie te brengen. Ik zie de chaos, de onkunde, de luiheid, de arrogantie en de neuswijsheid alleen maar toenemen. Triest voor de beveiligingswereld.

karma4, 4amrak, ph-cofi en anderen. Deze posting gaat natuurlijk niet over jullie, maar de algemene toestand maakt je wel wanhopig en moe. Nu Samba, dan weer WordPress, dan andere CMS en dan weer DNS, backend issues...., Cloudbleed, etc. etc.

Gezien alle reacties van karma4 ziet het ernaar uit dat hij een manager met MS affiliaties is want ik hoor bij hem zo ongeveer hetzelfde als bij vele managers die ik in het verleden heb gehad met weinig echte technische kennis.
Zij buzzwords zijn over het algemeen: itil, scrum, agile, iso27k.

En dit is juist exact wat ik bedoel.

Ik ben absoluut niet Karma4. Gelukkig niet, ik heb geen idee wie hij is en vind ik ook niet interessant. Al zou ik best eens koffie met hem willen drinken.
Maar zijn denk patroon is voor een groot gedeelte het zelfde als de mijne.

En die reacties, die je noemt, komen meestal personen die voornamelijk met oogkleppen ergens naar kijken.

Da vindt ik ook. Het is om gek van te worde! Me Windows 10 was na n uur nog nie klaar met updaten en toen foutmelding. Die door google gehaalt n r leek n oplossing te zijn. Maar die werkt ook nie! Nou zit ik met n Windows 10 die helemaal nie meer wil update. Wat nou? Je word r egt huelemaal knetter van en het groeid me ok egt boven de pet allemoal.

Waarmee enkel over dat issue aangeeft dat je achter de massa aanloopt en eer niet zelf over nadenkt of ooit mee bezig geweest bent. Jouw stelling hierboven: Als je niet achter de massa aanloopt sla je de plank mis en heb geen inhoudelijke kennis. Vervolgens wordt het gewoonlijk een ad hominem manier met bashen, herkenbaar als Linux envangelie cultuur.

Voor de terugkerende vraag, het geld. Speelt geen ene rol meer bij mij. Dat je de vraag belangrijk vindt zegt wat over de positie waarin de betreffende vraagsteller verkeerd. Bij mij is er nog de drijfveer van het idealisme wat ik niet goed zie gaan rondom informatieveiligheid.

Ik heb net zo'n hekel aan managers zonder echte technische kennis die wel denken het allemaal te weten. Dat is nerd eigen. Ik besef dat de enige mogelijkheid tot een cultuurverbetering is om hun woorden te gebruiken. De iso27k, nen7510 zijn kapstokken waar je dat van informatieveiligheid meer zou kunnen bereiken. Dat OS fanaten dat compleet ondergraven is een groot probleem op zich.

Waarom zou ik.
- ik ben geen manager
- niet afhankelijk van een commercieel iets
- hoef me niet te bewijzen als evangelist in een groep.
- zit niet met beperkingen in ict techniek
De gedrevenheid komt uit.
- betrokkenheid m.b.t. informatieveiligheid
- aversie van al die Nerds met een een eigen beperkt wereldje die nu net de informatieveiligheid schaden

Een van de categorie in de groep van bedreigende beperkte Nerds is nu helaas dat linux evangelisme. Ik weet niet of je de ict ervaring hebt om ze te herkennen.
De kenmerken:
- Alle wereldproblemen worden door de vijanden van hun evangelie veroorzaakt
- te pas en te onpas moet de oplossing van hun evangelie genoemd worden.
-elke dwarsligger moet monddood gemaakt worden als het niet goedschiks kan dan maar kwaadschiks.
- er is geen echte hulpinstantie voor dat soort mensen.
Helaas blijven ze een plaag zolang ze maar niet gevaarlijk genoeg zijn. Ik kan jouw vriendengroepje inschatten.
Andersom gaan jullie heel vaak de mist in.

Waarom zou de Linux kernel de meest gebruikte zijn denk je?
Waarom werken de meeste internet providers met Linux distributies voor de servers denk je?
Waarom werken de meeste webservers met een Linux distributie denk je?

Al deze systemen zijn geoptimaliseerd voor het doel waarvoor ze gebruikt worden, dat is bij een Linux distributie vaak makkelijker, dan bij een ander systeem.
Ook als eindgebruiker met een desktop of laptop, is een Linux distributie vaak simpel aan te passen aan de gebruiker.

Er zijn ook negatieve uitzonderingen, IoT is vaak troep en de beveiliging van Adroid (= Linux distro) laat ook veel te wensen over.

Antwoord 1/ Het is gratis dat is Godwin verkoopargument. Dat de rekening via een andere weg in veelvoud terugkomt schijnt men bij her eerste contact niet door te hebben.
Antwoord 2/ ook hier met het verhaal van negatieve uitzonderingen zie je het gratis argument. Het moet snel en goedkoop de markt op. Informatieveiligheid is geen verkoopargument en heeft geen waarde.

Ik weet dat het veel gebruikt wordt ... tevens weet ik dat er met informatieveiligheid schandalig omgegaan wordt. Ook hier weer het argument dat je niet moet nadenken (kost geld) gewoon implementeren en niet zeuren. Storend alles veilig want oss en jij bent dan die klojo die het veilig wilt hebben.

Het is gangbaar en herkenbaar terug te vinden. De Mongo dB zaken waren een typisch voorbeeld. Het gebrek aan besef van inrichten met service accounts en high privileged kun je ook herkennen. Het begint met dat besef wat in de oss wereld en de evangelisten geheel lijkt te ontbreken.
Je kunt bij IBM uitstekend strategisch en tactisch materiaal vinden bij ms Oracle en sap ook. Ze geven een behoorlijke richting aan waar je heen kan werken.

Maar met linux schijnt er dezelfde cultuur als van de linux iot troep te heersen. Als het maar werkt en dan niet zeuren d as t het niet goed zou zijn want dan gaan we alle middelen inzetten om je onderuit te halen.

Met telefoons er bij wel. Maar zonder telefoons is het landschap al een stuk anders.

Waarom denkje? Antwoord is simpel. Het voldoet en doet zijn taak goed, en de meeste software is hiervoor aanwezig. Scheelt ook enorm in de kosten. Al zie je ook veel meer Appliances voorbij komen. Draaien natuurlijk ook onder Linux, maar scheelt gewoon beheer tijd.

Omdat de meeste web applicaties op php draaien. PHP draait ook zeer goed op een Linux versie, en daarom zeer geschikt is om (lekke) WP, webshops, brakke zelfs gemaakt de applicaties te draaien.
Het is bijvoorbeeld niet voor niets, dat de meeste gehackte sites op Linux gehost worden. Helaas is Linux hiervoor ook het meest geschikt.
Maar als we het toch over webservers hebben, welke webservers hebben de meeste Vulnerabilities? Dan zie je toch echt een groot verschil.

geoptimaliseerd vs er is gewoon veel software voor. Daar kan je nog wel eens over discussiëren. Veel van deze software is gemakkelijk voor een Linux distributie, dus is het meest logische om dat te gebruiken. Eigenlijk een beetje waarom de meeste Desktops Windows draaien. Daar is de meeste software voor geschikt.

Hier spreek je je zelf een beetje tegen. Linux is nog steeds lastiger aan te passen voor de gemiddelde gebruiker. Veel applicaties doen het er bijvoorbeeld niet op, welke een gebruiker wel wilt gebruiken. Je kunt alles aanpassen, maar voor de gemiddelde gebruiker is het al te lastig. Maar de meeste gebruikers, die snappen het niet.
Dat wil niet zeggen dat het OS slecht is.

Helaas heb je hierin gelijkt. IoT is volkomen bagger. Maar Android valt mee, zolang je maar up to date blijft. Al is dit weer wat lastig door het update beleid van de leveranciers.

Misschien juist een mooie in je eigen rijtje....
Waarom denk je dat de meeste Desktops Windows draaien?

Conclusie is eigenlijk: je moet het OS gebruiken waar de beschikbare applicaties, welke nodig zijn voor de benodigde functionaliteit, op kunnen draaien. Dat is het beste OS wat geschikt is voor de taak. Welk OS daarvoor geschikt is, is een tweede.
Soms is dat Linux, Soms is dat Windows, Soms is dat Unix, en soms is dat.......

Hier moet ik het mee eens zijn, een OS is niets meer dan een container voor de applicaties.

he he begint te komen. Als dan de tools als applicaties dan nog eens los ziet van de processen en informatie dan is dat laatste waar het nu echt om draait.