Cloud services en OSS zeer open neergezet wat het is veilig toch.
Ik me van laatst herinneren dat er nooit wat aan de hand zou zijn in dat soort omgevingen.

Het is de zelfde wijze waarop Linux gelovigen verkondigen dat er nooit iets mis met AWS Google of wat dan ook gaat omdat ze Linux gebruiken. AWS is toch Ubuntu of niet dan. En dan kan er nooit meer iets fout gaan toch.
Ik zei toch dat het laatst de bewering was. Als dit iets met een andere leverancier in een Windows omgeving is dan is het altijd de schuld van Microsoft toch, nou dan is dit met AWS altijd de schuld van Linus Torvald.altijd.

Heb je nog steeds niet door dat ik van de OS bashen af wil omdat het niets aan informatieveiligheid bijdraagt.
De enige weg die ik daarvoor zie is weerwoord bieden aan OS geloofsfanaten.

Snap nog steeds niet waarom mensen hun wachtwoorden op een onbekende server bij een onbekende partij plaatsten. Is het gebruik van een textfile of iets dergelijks zo moeilijk dat je dan maar meteen al je geheimen aan een ander geeft ? ... en maar klagen dat de privacy zo aangetast word terwijl het klootjesvolk gratis al hun wachtwoorden weggeven.... sukkels.

Kaba je reactie is een typische Linux geloof reactie. Als je niet voor Linux als het enige ware ben dan heb je een microsoft agenda. Wat heeft zoiets nou met informatieveiligheid security etc te maken .... NIETS.

Mongo-db is me verweten waarom ik er op wees Hadoop komt ook al langs. Beheerders kunnen elk OS en elk tool kapot maken en publiek op het internet gooien. Informatieveiligheid begint om te beseffen wat er rond gaat en wat je er zelf aan doen kunt en dat zonder gebruikers te frustreren. Heb je die houding niet, tja niet serieus te nemen.

Dit soort keys (AWS e.d.) staan meestal op GitHub. Heel handig.

De toekomst is een gedecentraliseerde opslag zoals sia, storj of maidsafe geen risico's meer zoals het hacken van een coorporate server

@karma4

We leren de geldende principes via een kapstok taal, meest Java, en dat leert dat alles overal op kan draaien en code kan veilig of onveilig zijn. Wie iets anders beweert mist het inzicht, hoe het zit en werkt.

Even voorbeeldje uit de dagelijkse praktijk van een intentionele malware site met slecht geconfigureerd Word Press, maar wel met een strict geconfigureerde sri hash same origin policy, dus malcreanten die weten wat er slecht moet blijven op een voor hen veilige manier. Ja echte circusartiesten zijn het en nooit in de eigen achtertuin, geobfusceerd javascript injectie malware is de name of the game, phishing voor duistere trackers (ja ook Amazon en Haliburton bijvoorbeeld tracken via zulke website links).

En wat denk je dan van de CMS en de bijbehorende kwetsbaarheden daar en uit te voeren exploits (want we updaten en patchen niet allemaal toch?).

Wat denk je verder van een PHP collectie als comment-template.php; comment.php; compat.php; cron.php, (goed voor een unrestricted Cron Script webapp exploit (versie onder 3.3.2), ook recentelijk nog gebruikt op Magento); default-constants.php ; default-filters.php ; default-widgets.php ;deprecated.php ; embed-template.php ; embed.php etc. etc.

Dit was een collectie van een slecht geconfigureerde WordPress site, dus ook aangetroffen o.m.- functions.wp-scripts.php ; functions.wp-styles.php ; general-template.php en nog een heel scala meer.

Net als wat je zegt genoeg opengezet en net ietewatje te weinig beveiligd om een groot risico te zijn voor degenen, die weten waar ze moeten snuffelen. Die hebben aan een klein wurmgaatje genoeg.

Wij kunnen dit soort zaken hier steeds maar weer aankaarten, maar men pakt het maar niet op. Daarom beginnen ze maar met OS bashen, dat scoort lekker bij de community en is niet zo moeilijk, dus trollen maar, jongens. We hebben jullie door, hoor...

De hoeveelste hack met data breach gevolgen is dit nu al? Een ezel stoot zich enz. maar degenen die een website veilig moeten houden kennelijk wel. Moe wordt je ervan.

luntrus

Kaba, ik zal elke leverancier aanspreken op problemen en zaken die beter moeten. Heb ik gedaan zal ik blijven doen en dat maakt me niet geliefd.
Ik heb jou nooit op dat soort agnosticiteit kunnen betrappen.
Het is het typisch mijn os is feilloos iedereen moet daarop over en die en die is het grootste kwaad waar niets deugt. Nu je daarop gemarkeerd bent ga je nog wilder om je heen slaan. Niet inhoudelijk of positief.

Maar KARMA4, verklaar eens de SMB bug wat duizenden, al dan iet miloenen slachtoffers heeft gemaakt. Hier waren juist windows gebruikers de pineut. Geen enkel OS, hardware en software is 100% veilig. Wat hier enkel word gemeld is dat jij jezelf niet bepaald geliefd hier maakt. Dit komt voort uit je eigen starre houding. Zelf gebruik ik alle OS'es. Zowel windows, als linux, als osx heeft zijn voor- en nadelen (ook betreft veiligheid).

Daarnaast, waarom zullen systeembeheerders van webdiensten voornamelijk kiezen voor linux? De aantallen wat apache2 op een linux distro draait zal toch niet volledig bestaan uit gemak en/of ontwetendheid? IIS is vele malen gemakkelijker op te zetten...

Kaba ik heb op deze thread enkel gereageerd omdat laatst de bewering gedaan werd dat alles van Google aws netflix linux perfect was. Je zou nooit wat horen over beveiligingsproblemen in die hoek.
Nu volg ik het wat intenser en zie meer dan genoeg issues.
Nu ga jij volledig door het lint omdat er niets slechts over die omgevingen vermeld mag worden. Hoe zout moet je het hebben. Veel wat daar gebeurt aan foute zaken is net zo os gerelateerd als bij ms. Heb je ooit van iso27k bir-tnk etc gehoord? Het zijn richtlijnen open standaarden die door linux fanaten genegeerd worden.

Keus sleutels hoen binnen de AWS niet bij anderen te komen. Niet afgevraagd hoe dat mogelijk is?
In jou aanpak ligt dat gegarandeerd aan het os.

Opensource en dan claimen dat het veiliger is... Want ergens ooit zal een hobbyist elders naar de code kijken.. hoopt men.

Ik heb meer bugs zelf gevonden in opensource in 20 jaar tijd dan in Windows (assembly debugger).

Opensource is nooit per definitie veiliger dan proprietary.

Anoniempjes verdiep je even in smb. De v1 versie is door IBM neergezet met de os/2 achtergrond om een monopolie te continueren. Toen dat mislukte viel er een groot gat. Smb v2 is als opté door ms verder ontwikkeld omdat de v1 te veel gebreken vertoonde. Pas in 2007 is er ontwikkeling in linux omgeving daarvoor gekomen.
Wat niet geliefd maakt is het vermelden dat zoiets behoorlijk verprutst is als open standaard dan wel al of niet open source..
Als dan beheerders de betreffende service ook nog eens open en bloot op Internet laten.....De druk: het werkt toch waarom doe je nou moeilijk... Zoiets heeft als root cause niets meer met het is of een leverancier te maken
Mag je niet zzeggen want bashen schijnt een groepscultuur in d eed linux hoek te zijn. Helaas echte behoorlijke kwaliteit leveren wordt niet opgepakt of dat gaat onder niet onderscheidende software.
......
Voor aws heb ik vaak genoeg de claim uit de linux fan hoek gehoord dat het allemaal linux en Ubuntu is. Ik heb dat voor
waar aangenomen en nu zeggen dezelfde soort mdns eed n dat het niet waar is. Wat is her nu, of weet men het zelf niet.

Dank luntrus. Je hebt een iets andere techniek als kader maar je ziet de zelfde soort bewegingen die de secùrity frustreert.

Een flame doelbewust starten is geen weerwoord bieden maar wel een manier om de zaterdag door te brengen. De polemiek is vervolgens volledig voorspelbaar en TLDR.

Gisteren 11:52
Om het 13:22 glashard te ontkennen.

Op een secùrity forum zou je met secùrity bezig moten zijn nie met os bashing. Jullie laten je echt kennen als geloofsfanaten.

Ooit de iso27k reeks doorgewerkt begrepen en maatregelen proberen te bedenken met alle vervolgstappen? De bir tnk nen7510 itil cobit. Het zijn beheersmaatregelen met de onderbouwing warm je iets doet of niet.
Dat soort zaken worden door geloofsfanaten genegeerd en zelfs ondergraven. Dat ondergraven door te beweren dat het os alles oplost en je niet meer over secùrity moet nadenken.

Dus laat dat geloofsfanatisme is los en kap met dat os bashing. Dat is nu net mijn doel en als ik tegen linux geloofsfanaten in moet gaan dan is dat een stap om te doen voor het hogere doel.

.....
Ja sorry hoor ph-cofi het was voorspelbaar. Ik had gehoopt op meer inzicht dat overal fouten zitten en dat je met goed beheer een stuk verder kan komen. Helaas.
Luntrus gaf een uitstekend iets net de teleurstelling dat we blijven dweilen met de kraan open.

Karma, snap je werkelijk niet hoe onduidelijk je zelf bent en hoe je overkomt? Als je niet op dit nieuwsbericht reageert maar op iets heel anders dat heel ergens anders stond, waarom plaats je je reactie dan niet dáár?

Duidelijk eraan refereren deed je niet:
Je linkte niet naar de betreffende uitspraak, en die is ook helemaal niet relevant als reactie op dit bericht. Je noemt OSS terwijl dit bericht niet over OSS ging, je noemt cloud services terwijl helemaal niet duidelijk is dat dit probleem is veroorzaakt omdat het om een cloud service ging, wie weet was het wel net zo goed fout gegaan als ze hun IT zelf hadden gehost en daarvan wachtwoorden waren gelekt.

Het kan wel wezen dat een paar OSS-adepten fel op je reageren, maar je eigen post komt als een provocatie over. Je zet zélf namelijk een discussie die op deze pagina helemaal niet gevoerd werd hier door op een manier die helemaal niet duidelijk maakt waar die dan vandaan kwam.

Het effect is dat mensen hun geïrriteerde reacties verwijt terwijl je zelf die irritatie eerst hebt aangezwengeld. Je kan jezelf wijs blijven maken dat je tegen OS-geloofsfanaten aan het strijden bent, maar je bent alleen maar bezig om te "bestrijden" wat je zelf eerst aanwakkert. Ik weet niet of je het erom doet of niet, maar dat soort gedrag is wat "trollen" wordt genoemd.

Als je een trol bent, karma: hou er eens mee op!
Als je geen trol bent, karma: laat eens tot die dikke schedel doordringen hoe je overkomt en hou er eens mee op!

Als je een en ander gevolgd heb, ik ben ik al langer dat os bashen zat. Nu kun je mij niet leuk vinden omdat ik probeer er wat aan te doen. De enige manier is kennelijk zo te acteren en niet zelf te ver van het pad afgaan dat anderen het ook zat worden.
De draadjes met mijn os dit en mijn os dat had je maar niet dat en dat moeten gebruiken waren er ten overvloede. Als je verder in het onderwerp bekend was en er wat dieper in dook miste die bashing de noodzakelijke nuancering.
Het ergste is dat dat soort beeldvorming ook naar beslissers managers doorsijpelt. Daar heb ik last van want dat blokkeert een behoorlijke secùrity invulling volgens iso27k bir-tnk die gewoon bij de open standaarden Nora staan.
Dit is de rode draad die je bij mij kunt terugvinden. Al die tijd aanzit geweest en als te bereiken doel regelmatig genoemd.

Als jij een iedernu ook eens zo zou reageren op elke vorm van bashing... "kap daar mee". Zouden we dan die stap voor betere informatieveiligheid kunnen maken denk je?

Gezien de reacties kunnen jij en Kaba nog niet het bashen loslaten en de stap naar informatieveiligheid ofwel de echte security maken.. Jammer jammer.

Die opleiding dateert uit de tijd dat er nog eerbied voor het werk van E Dijkstra en dat soort mensen was omdat ze een hoger doel hadden.
Wie mij betaalt is niet meer interessant om de doodeenvoudige reden dat ik niet afhankelijk meer ben van extra inkomsten.
Genoeg betrokkenheid met gevoelige data in grote organisaties om daar de last van nerds te hebben om een en ander goed te krijgen volgens de vaak genoemde richtlijnen.

Een trap tegen de schenen van de Nerds schijnt de enige gevoeligheid te zijn die ze vertonen.
Geef nu eens hoe en wanneer ze uit hun beperkte wereldje stappen en die bedrijfsbelangen met de richtlijnen gaan volgen.
Die objectiviteit is nog steeds duidelijk zoek.
Dat je hè op de inkomsten geld focussen zegt volgens mij dat jij er afhankelijk van bent net zoals de vraag naar de opleiding. Het is de macht via dat soort gedoe. Little green2. Geen privacy gevoelige data allen wat wetenschappelijk gehobbeld.

Zucht.... Geef eens antwoord op deze vraag:

We laten dan Wordpress / Joomla / Drupal / Apache / OpenSSL even vergeten. En de meest lastige.... De gebruikers en legacy die moet blijven werken. Iets waar voornamelijk Microsoft last van heeft. Want als je verder kijkt, dan zie je het in eens heel anders.

[quote[Dat heet objectiviteit. [/quote]hmmmm. Lastige. Sorry maar soms moet je ook even in de spiegel kijken, oogkleppen afzetten, en kijken hoe we wereld echt in elkaar zit. Dat heeft objectiviteit.......


Of juist ervaring in de grote wereld?

Ik hoop dat het ding (die hoed) erg groot en nog verteerbaar met wat peper en zout is.
Het maakte deel uit van de opleiding en vervolgstappen. Ik niet voor niets vaak de nati69 conference paper aangehaald.
De belangrijkste terugkerende zake n. Foutloze software bestaat niet en bewijs bij bouw ontwerpster de code foutloos is. De bouwer en tester worden geacht daarover na te denken daar was Dijkstra altijd mee bezig.
Dat domme lashing van linux adepten hoort daar zeker niet bij.
Ik wens je smakelijk eten.

Ik ga mijn anonimiteit niet opgeven omdat jij met mijn naar waarheid gegeven antwoorden een probleem schijnt te hebben.
Dat je het ad hominem in de publieke sfeer je wilt afreageren is een slechte zaak. Ja ik heb unieke ervaringen en die zijn niet zo maar voor de openheid geschikt.

Ik weet ook dat er veel zijn met dat soort ervaringen. Dat die te vaak stil blijven it is wat anders, gewoon omdat het in de interne organisatie beslecht wordt. Ter lering van wat er misgaat (cybersecurity) en hoe dat tevoorkomen is eerst een andere cultuur nodig. Dat vereist het loskomen van merkverslaving/haat en dan de openheid van de zaken die spelen/gespeeld hebben.

Ik ga mijn anonimiteit niet opgeven omdat jij met mijn naar waarheid gegeven antwoorden een probleem schijnt te hebben.
Dat je het ad hominem in de publieke sfeer je wilt afreageren is een slechte zaak. Ja ik heb unieke ervaringen en die zijn niet zo maar voor de openheid geschikt.

Ik weet ook dat er veel zijn met dat soort ervaringen. Dat die te vaak stil blijven it is wat anders, gewoon omdat het in de interne organisatie beslecht wordt. Ter lering van wat er misgaat (cybersecurity) en hoe dat tevoorkomen is eerst een andere cultuur nodig. Dat vereist het loskomen van merkverslaving/haat en dan de openheid van de zaken die spelen/gespeeld hebben.

Ik vraag me al even af wat de heren ongeloofwaardig vinden.
-Dat er met gevoelige persoonsgegevens gewerkt wordt bij de financials overheid en zorg/medische ...
Dat lijkt me toch echt evident. Geen discussie nodig.
Dat er met informatie analist business analist etc van die functies (modern woord big data) intensief met die gegevens gewerkt wordt dat lijkt me evident.
-het bijzondere lijkt te zijn dat er ook personen bestaan tussen de techniek groot gebracht in de techniek met een been in die andere wereld van de data verwerking met het doel.

Dat die personen geen openheid van zaken kunnen geven van de eigen praktijk waar ze mee te maken hebben van eigenwijze Nerds. Tja er is ook nog zoiets als beroepsethiek en beroepsgeheim. Vraag eens een advocaat arts notaris naar alle achtergronden van zaken. De wereld zou te klein worden wegens privacy schending. Dan zou een informaticus die in een gelijksoortige situatie wel moeten lekken?
Ga nu gauw ik had een betere beroepsethiek verwacht. Kennelijk gaat het daar al fout.

Waarom zou hij dit moeten zeggen? Wat is het van belang wie je betaald? Wat voor een opleiding je gedaan hebt?
Dit zegt namelijk helemaal niets, tenzij je met die informatie probeert onderuit te halen....

Een drs, ing of een mbo-er zegt niets over hoe goed iemand in ICT is, en ergens over gaat nadenken, of juist over oplossing gaat nadenken. Een goede ICTer denkt niet in dozen, OS, Closed Source of Open Source.

Hij kiest de juiste/beste oplossing voor benodigde functionaliteit.

Ze deze oogkleppen eens af en kijk eens in de spiegel.

Foutloze zinnen bestaan wel. Ik denk dat je iedereen die je posts leest een groot plezier zou doen door niet zo schrikbarend veel bugs in je taalgebruik te laten zitten.

Gelukkig laat je veel ruimte en nuance in je opmerkingen. Mijn persoonlijke ervaring is dat er namelijk een heel hoop ruimte zit tussen iemands opleiding vs serieus (door)denk niveau.
Ik ken heel wat MBO-ers die veel meer/beter nadenken dan HBO's of universitaire opgeleide personen, zeker in de techniek.

Zodra men over hoogte van opleidingen begin, staan mijn nekharen al rechtop en vertrouw ik die persoon eigenlijk al niet meer. Als iemand wil pronken met papiertjes das mooi, ik vertrouw iemand veel meer indien die werkelijk weet hoe de wereld in elkaar zit. Daar heb je vaak veel meer aan en kan je meters maken.

Een opleiding is maar een eerste indicatie over iemand zijn capaciteiten en meer eigenlijk ook niet.

Ik post niet anoniem dus dat je dat veronderstelt is een lachertje. Het geeft Hoe paranoïde je bent.
Wetenschappelijk onderzoek begint met een veronderstelling die je volgens bepaalde stappen meer aannemelijkmoet zien te maken. Een goede geleerde als D. Stapel is onder de publicatiedruk met gewenste uitkomsten fout gegaan. Leer er van het is geen uitzondering.
Met je focus op opleiding geef je aan dat je daar zelf mee onder druk staat. Je hebt niet door dat er door de jaren heen het nodige veranderd is. Waar ik mee te maken heb en doe, daar kan jij je kennelijk niet eens een voorstelling bij maken.

Dat hoef ik niet te openbaren, het is jouw uitdaging om zo iets te bereiken in jouw omgeving. Ik mag het uit ethische gronden niet eens zo maar wat over zeggen. Daar kan je je al niets bij voorstellen dat is echt erg. Niet voor mij maar voor jou.

Blijf schreeuwen over opleiding etc het zegt meer over jou dan mij.

Karma, ik ben nog steeds geïnteresseerd in je antwoord op deze vraag:
Serieus: waarom begon je op deze pagina te reageren met een opmerking die gaat over iets dat op andere pagina's, in andere discussies plaatsvond. Waarom niet op de plekken waar die discussie al liep? Het gaat me bij deze vraag niet om de inhoud van die discussie, het gaat me om de manier waarop je hem van inmiddels wat oudere nieuwsberichten naar nieuwere transplanteert.

Het gebekvecht op deze pagina is namelijk daarmee begonnen, je bent daarmee zelf degene die het heeft aangezwengeld (en diverse mensen hebben zich natuurlijk laten aanzwengelen). Ik zou je in je strijd tegen OS-bashing een stuk geloofwaardiger vinden als je wél met relativerende of corrigerende opmerkingen zou reageren op anderen maar er niet telkens als eerste over zou beginnen, daarmee lok je namelijk uit wat je beweert te bestrijden. Da's totaal niet effectief, weet je? Dat werkt averechts. Een belangrijke reden dat het averechts werkt is omdat je de indruk wekt dat je het erom doet controverse te zaaien, dat het je niet gaat om het bestrijden van OS-bashen maar dat je het gewoon lekker vindt om ruzies uit te lokken.

Dus beantwoord die vraag eens.

Jemig wat een discussie zeg, volgens mij is 90% van het bovenstaande off-topic en een persoonlijke vete tussen 2-3 personen.

Zoals Kaba in een van de eerste berichten aangeeft heeft het stelen van de AWS sleutels niks met een OS te maken. Er staat niet bij hoe deze sleutels gestolen zijn, het zou zomaar kunnen dat hier een vorm van social engineering aan te pas is gekomen.

Kaba, Karma4 en 4armak start svp een whatsapp discussie groep o.i.d. zodat de rest van de lezers hier geen last van hebben.

Op zich eenvoudig: het is de zelfde manier waarop de Windows bashers acteren. Dan moet deze site naamsverandering aanvragen namelijk de "windoiws bashing club" wat verder niets met secùrity van doen heeft.

Overigens die houding van eigenwijze beheerders met een eigen agenda herken ik ook uit de jaren 90. Het is verbeterd doordat het meer consistentie heeft gekregen. Is het goed nou nog niet echt de secùrity richtlijnen worden nog steeds niet als uitgangspunt genomen. Dat is nog erger als het ware jaren 90 in de linux hoek. Moet je dat eens voorstellen met echt gevoelige data onder handen in deze tijd.

Dit draadje leende zich voor wat opspelen of het os of beheersmaatregelen het belangrijkste zijn.


Gezien de nogal verhitte reacties zoals 4amrak kun je zien dat het os nog steeds als heiligdom gezien wordt. Het moet verder naar beheersmaatregelen waar de organisatie zelf over moet nadenken en beslissen.

Spring je ook van het dak als anderen dat doen? Je tot het niveau wat je van anderen niet ziet zitten verlagen is geen manier om dat lage niveau te bestrijden, het is een manier om eraan deel te nemen. En dat doe je actief door er zelf mee te beginnen.
Daarmee bevestig je een trol te zijn. Je zegt iets te bestrijden maar je zoekt vooral gelegenheden om de controverse te doen opspelen. Mooi, dat is dan duidelijk.

Nee, de nogal verhitte reacties zijn precies wat jij uitlokt, en daar ben je deze keer erg goed in geslaagd. Dát is wat je eraan kan zien, niet dat die anderen overdreven fanatiek zijn in hun voorkeuren.

Ach 4amrak Kaba jullie kunnen mij geen pijn doen met jullie opmerkingen. 4amrak als een broekje dat net komt kijken en Kaba heeft zich als een hobbyist kleine omgevingen laten kennen. Snap dan eens waar ik de waardering van krijg.
Met meer dan 30 jaar in grote omgevingen met gevoelige data bereikbaar onder de eigen handen komt het van de gebruikers die daar mee omgaan. En dat zijn niet de minsten.
Het wordt nog leuker als je een topje oplicht bij de UvA Radboud wetenschappers die je een keer tussendoor ontmoet. Een klein beetje informatie waar ik mee bezig ben en die staan verbaasd te kijken. Met de context waar het gebeurt face to face weten ze dat ze het kunnen verifiëren en dat het waar is.

Advies ga een met de mensen van het privacy lab praten.
Gedraag je tegen hun zoals je hier doet en je hebt een voorspelbaar resultaat.