Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ubuntu 17.10 stopgezet wegens corrumperen van de bios.

20-12-2017, 20:26 door Anoniem, 110 reacties
Ubuntu heeft de uitrol van 17.10 stopgezet wegens het corrumperen van de bios van Lenovo computers.
https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1734147
Reacties (110)
20-12-2017, 22:33 door [Account Verwijderd]
Er kan blijkbaar niet genoeg voor gewaarschuwd worden: Installeer uitsluitend LTS (Long Time Support) versies (huidige LTS Ubuntu is 16.04) ofwel in het geval van Ubuntu wacht tot april 2018 als de LTS versie 18 uitkomt!
Zogenaamde tussenversies zijn minder stabiel en minder betrouwbaar.

"Wij gaan ervan uit dat de nieuwste tussenversie wordt gebruikt door mensen die, ook al is het slechts zijdelings, betrokken zijn bij het maken van Ubuntu (lees: ontwikkelaars en testers), en dat LTS-versies worden gebruikt door gewone gebruikers (lees: u en ik)."
Hoofdontwikkelaar van Ubuntu, Mark Shuttleworth.
20-12-2017, 22:47 door Anoniem
Door Aha: Er kan blijkbaar niet genoeg voor gewaarschuwd worden: Installeer uitsluitend LTS (Long Time Support) versies (huidige LTS Ubuntu is 16.04) ofwel in het geval van Ubuntu wacht tot april 2018 als de LTS versie 18 uitkomt!
Zogenaamde tussenversies zijn minder stabiel en minder betrouwbaar.

"Wij gaan ervan uit dat de nieuwste tussenversie wordt gebruikt door mensen die, ook al is het slechts zijdelings, betrokken zijn bij het maken van Ubuntu (lees: ontwikkelaars en testers), en dat LTS-versies worden gebruikt door gewone gebruikers (lees: u en ik)."
Hoofdontwikkelaar van Ubuntu, Mark Shuttleworth.
Heb jarenlang Ubuntu gebruikt Aha, zit naar mijn mening geen verschil in. Vond beide versies minder stabiel en minder betrouwbaar.
21-12-2017, 08:56 door Anoniem
Door Anoniem: Ubuntu heeft de uitrol van 17.10 stopgezet wegens het corrumperen van de bios van Lenovo computers.
https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1734147

Wat heet dit met security te maken?
21-12-2017, 09:39 door Anoniem
Door Anoniem:
Door Anoniem: Ubuntu heeft de uitrol van 17.10 stopgezet wegens het corrumperen van de bios van Lenovo computers.
https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1734147

Wat heet dit met security te maken?

Heel erg weinig inderdaad. Het is wel boeiend (en iets meer relevant) om je verdiepen in wat er hier mis gaat en waarom.
Ik kwam er wat uitleg over tegen omtrent uefi bios, executables die daarin staan en automatisch (door windows) geinstalleerd worden als ze er staan, en dat het bios dingen weer automatisch wel aanzetten.

(aimgh was de bug iets als het schrijven van een paar parameters (denk aan welke bootdisk) in nor flash (voorheen nvram), bios ziet dat daar iets veranderd is en wil dan settings herschrijven .).

Ook verwante informatie:
https://www.howtogeek.com/226308/the-windows-platform-binary-table-why-crapware-can-come-back-after-a-clean-install/

[ben niet de TS overigens]
21-12-2017, 09:49 door Anoniem
Stiekem geeft het aan hoe fragiel (U)EFI is.
21-12-2017, 10:26 door Anoniem
Door Anoniem: Wat heet dit met security te maken?
Beveiliging is ook de integriteit en beschikbaarheid van apparaten beschermen.
21-12-2017, 10:46 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Ubuntu heeft de uitrol van 17.10 stopgezet wegens het corrumperen van de bios van Lenovo computers.
https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1734147

Wat heet dit met security te maken?

Wat dit met security te maken heeft?

Oh wacht... jij gebruikt in het algemeen natuurlijk bèta versies - en hier in het bijzonder is deze Ubuntu feitelijk zo'n bèta versie - om te gaan internetbankieren. Ja toch?
Dan ben blij dat ik jouw bankinstelling niet ben!

Bij deze een onnozele vraag weer voldoende beantwoord.
21-12-2017, 10:55 door [Account Verwijderd]
Door Aha:
Door Anoniem:
Door Anoniem: Ubuntu heeft de uitrol van 17.10 stopgezet wegens het corrumperen van de bios van Lenovo computers.
https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1734147

Wat heet dit met security te maken?

Wat dit met security te maken heeft?

Oh wacht... jij gebruikt in het algemeen natuurlijk bèta versies - en hier in het bijzonder is deze Ubuntu feitelijk zo'n bèta versie - om te gaan internetbankieren. Ja toch?
Dan ben blij dat ik jouw bankinstelling niet ben!

Bij deze een onnozele vraag weer voldoende beantwoord.

De veiligheid van bankieren (wat uiteindelijk in datacenters gebeurd) mag niet afhangen van de mate van veiligheid van de endpoint. Als een bepaald security-niveau nodig is op de endpoint bij een bank, dan ben ik blij dat ik daar geen klant van ben.

Enige 'limiterende' maatregelen zijn bijvoorbeeld compatibiliteitseisen (denk aan TLS versies, cipher suites, HTML, CSS, Javascript enz). Maar vereisen of er wel of niet een malwarescanner, firewall, etc, etc op een systeem staat moet irrelevant zijn.
21-12-2017, 11:00 door Ron625
Een test-versie van Ubuntu is altijd nog vele malen veiliger dan een ander OS, waarbij software is geïnstalleerd uit diverse bronnen.
In de ruim 13 jaar dat ik Ubuntu volg, zijn de meeste problemen ontstaan doordat fabrikanten afweken van de standaarden, iets dat Lenovo en Toshiba mogelijk nu ook gedaan hebben.

Ter info: op dit moment gebruik ik (al) 18.04 en ik denk dat ik veiliger ben, dan de meeste lezers hier :-)
21-12-2017, 11:06 door [Account Verwijderd]
Door Anoniem:
Door Aha: Er kan blijkbaar niet genoeg voor gewaarschuwd worden: Installeer uitsluitend LTS (Long Time Support) versies (huidige LTS Ubuntu is 16.04) ofwel in het geval van Ubuntu wacht tot april 2018 als de LTS versie 18 uitkomt!
Zogenaamde tussenversies zijn minder stabiel en minder betrouwbaar.

"Wij gaan ervan uit dat de nieuwste tussenversie wordt gebruikt door mensen die, ook al is het slechts zijdelings, betrokken zijn bij het maken van Ubuntu (lees: ontwikkelaars en testers), en dat LTS-versies worden gebruikt door gewone gebruikers (lees: u en ik)."
Hoofdontwikkelaar van Ubuntu, Mark Shuttleworth.
Heb jarenlang Ubuntu gebruikt Aha, zit naar mijn mening geen verschil in. Vond beide versies minder stabiel en minder betrouwbaar.

Off Topic >
Ik ben er ook geen liefhebber van. Heb het maar kortdurend gebruikt want al heel snel merkte ik: de totale "beleving" van Ubuntu vind ik niet prettig. Het is altijd heel persoonlijk maar Xubuntu daarentegen vind ik een erg prettig OS.
< End Off Topic
21-12-2017, 11:48 door Anoniem
Door Aha:
Door Anoniem:
Door Anoniem: Ubuntu heeft de uitrol van 17.10 stopgezet wegens het corrumperen van de bios van Lenovo computers.
https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1734147

Wat heet dit met security te maken?

Wat dit met security te maken heeft?

Oh wacht... jij gebruikt in het algemeen natuurlijk bèta versies - en hier in het bijzonder is deze Ubuntu feitelijk zo'n bèta versie - om te gaan internetbankieren. Ja toch?
Dan ben blij dat ik jouw bankinstelling niet ben!

Bij deze een onnozele vraag weer voldoende beantwoord.
Volgens mij is Beta weer heel iets anders in een ontwikkelstadium. Dit kwam gewoon voor in een stable versie. Gewoon een fuckup ergens door iemand en niet goed getest. Jammer klaar en welkom en de grote wereld. Wel een hele grote en lullige bug, maar niets meer en minder.

Daarnaast ben ik het er mee eens. Dit heeft niets met Security te maken gewoon een bug in een productie release. Wel mooi om te melden, maar iets voor tweakers.net en niet security.nl
21-12-2017, 12:03 door beatnix
Alle ubuntu, ook mint, is privacy technisch lek als een mandje, niet alleen een grote achterdeur ook voor overheden.

Gebruik Gentoo voor meer zekerheid.
21-12-2017, 12:51 door Anoniem
Door beatnix: Alle ubuntu, ook mint, is privacy technisch lek als een mandje, niet alleen een grote achterdeur ook voor overheden.

Gebruik Gentoo voor meer zekerheid.

Jezus, alweer zo'n kul.
21-12-2017, 12:54 door Tha Cleaner
Door beatnix: Alle ubuntu, ook mint, is privacy technisch lek als een mandje, niet alleen een grote achterdeur ook voor overheden.
Omdat? Iets meer informatie is altijd wel prettig bij dit soort opmerkingen.

Gebruik Gentoo voor meer zekerheid.
Omdat? Welke meer zekerheid? Dat je alles zelf compliled? Dat zegt niet heel veel meer over mogelijk fouten/achterdeurtjes in de code.
21-12-2017, 13:04 door beatnix - Bijgewerkt: 21-12-2017, 13:04
Tha Cleaner;

repositories bij Gentoo worden meer regelmatig en kwalitatief hoogwaardig gecontroleerd, zelfs daar zijn injecties en modificaties gevonden, bij lange na niet alleen via MITM. Bij Ubuntu is dit algemeen bekend, google is your friend. And don't be fooled by anything below SHA256, wil je menselijkerwijs zeker tegenwoordig zorg dat je altijd boven SHA512 zit. Seriously.

En niet alles wat topnotch ontwikkeling is heeft dertig google pdf's voorhanden, ik weet dat de meesten zoveel naprater zijn dat ze overal dertig andere meningen voor nodig hebben wat tegenwoordig met top ontwikkelingen ook in veiligheidswereld simpelweg niet beschikbaar is, dat is waarom die aardappels ook constant geroot worden zonder iets in de gaten te hebben, de technieken bij hun zijn al tien jaar publiek geheim voordat ze zulks willen aannemen want ieder ander praat erover.

'k zeg t maar zo even, wat je ervan denkt voor je houden, weet zaken liever zeker. dank u.
21-12-2017, 16:05 door ph-cofi - Bijgewerkt: 21-12-2017, 16:06
Door Anoniem: Stiekem geeft het aan hoe fragiel (U)EFI is.
UEFI? Intel-SPI is weer wat anders, denk ik.

"(...)which don't appear to be ready for use on end-user machines(...)" suggereert dat Ubuntu niet tevreden is over een stukje Linux kernel gedrag.
21-12-2017, 17:22 door Anoniem
Door ph-cofi:
Door Anoniem: Stiekem geeft het aan hoe fragiel (U)EFI is.
UEFI? Intel-SPI is weer wat anders, denk ik.

"(...)which don't appear to be ready for use on end-user machines(...)" suggereert dat Ubuntu niet tevreden is over een stukje Linux kernel gedrag.

UEFI is de nieuwe stijl bios /bios interface.
Intel-SPI is de driver voor de Serial Peripheral Interface van serial geprogrammeerd flash . wat een stukje non-volatile opslag is (uitgebreid nvram) .

Het schrijven in deze norflash deed het bios denken dat er iets geupdate was waar het bios weer (verkeerd) op reageerde.
Het probleem gedrag doet zich dus alleen voor bij deze Lenovo bios versies (en naar ik opmaak, in combinatie met een bepaalde configuratie) .
21-12-2017, 17:30 door Anoniem
Door Anoniem:
Door ph-cofi:
Door Anoniem: Stiekem geeft het aan hoe fragiel (U)EFI is.
UEFI? Intel-SPI is weer wat anders, denk ik.

"(...)which don't appear to be ready for use on end-user machines(...)" suggereert dat Ubuntu niet tevreden is over een stukje Linux kernel gedrag.

UEFI is de nieuwe stijl bios /bios interface.
Intel-SPI is de driver voor de Serial Peripheral Interface van serial geprogrammeerd flash . wat een stukje non-volatile opslag is (uitgebreid nvram) .

Het schrijven in deze norflash deed het bios denken dat er iets geupdate was waar het bios weer (verkeerd) op reageerde.
Het probleem gedrag doet zich dus alleen voor bij deze Lenovo bios versies (en naar ik opmaak, in combinatie met een bepaalde configuratie) .

Niet alleen Lenovo, ook o.a. de zeer populaire Dell XPS 13 die notabene ook met Ubuntu pre-installed verkocht wordt.

Lenovo B40-70
Lenovo B50-70
Lenovo B50-80
Lenovo Flex-3
Lenovo Flex-10
Lenovo G40-30
Lenovo G50-70
Lenovo G50-80
Lenovo S20-30
Lenovo U31-70
Lenovo Y50-70
Lenovo Y70-70
Lenovo Yoga Thinkpad (20C0)
Lenovo Yoga 2 11" - 20332
Lenovo Z50-70
Lenovo Z51-70
Lenovo ideapad 100-15IBY

The bug also affects:
Acer Aspire E5-771G
Acer TravelMate B113
Toshiba Satellite S55T-B5233
Toshiba Satellite L50-B-1R7
Dell XPS 13 9350 I7.
21-12-2017, 20:23 door Anoniem
Door Anoniem:
Door Anoniem: Ubuntu heeft de uitrol van 17.10 stopgezet wegens het corrumperen van de bios van Lenovo computers.
https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1734147

Wat heet dit met security te maken?

Ubuntu ondersteunt net als Windows, Secure Boot.

Secure Boot kan van invloed zijn op het succes van slecht ontworpen rootkits.

Nu Ubuntu even no go is, wijken mensen misschien uit naar een alternatief zonder Secure Boot.
21-12-2017, 21:19 door Anoniem
Door Anoniem: Stiekem geeft het aan hoe fragiel (U)EFI is.
Moet zijn: "Stiekem geeft het aan hoe fragiel Ubuntu / Software is"
21-12-2017, 22:20 door Ron625
Door Anoniem:
Door Anoniem: Stiekem geeft het aan hoe fragiel (U)EFI is.
Moet zijn: "Stiekem geeft het aan hoe fragiel Ubuntu / Software is"
Kan je dat onderbouwen?
Een paar hardware fabrikanten halen truukjes uit en een software leverancier krijgt de schuld?
Ze moeten gewoon de specificaties, of de source, van die UEFI/BIOS publiceren, zodra deze afwijkt van de standaard.
21-12-2017, 22:46 door -karma4
Door Anoniem:
Door Anoniem: Stiekem geeft het aan hoe fragiel (U)EFI is.
Moet zijn: "Stiekem geeft het aan hoe fragiel Ubuntu / Software is"

Weet jij wat die schuine streep (/) normaliter betekent?
22-12-2017, 03:31 door Legionnaire
Door Ron625:
Door Anoniem:
Door Anoniem: Stiekem geeft het aan hoe fragiel (U)EFI is.
Moet zijn: "Stiekem geeft het aan hoe fragiel Ubuntu / Software is"
Kan je dat onderbouwen?
Een paar hardware fabrikanten halen truukjes uit en een software leverancier krijgt de schuld?
Ze moeten gewoon de specificaties, of de source, van die UEFI/BIOS publiceren, zodra deze afwijkt van de standaard.

Wij volgen ze al dik een jaar. Ze maken gebruik van Kali Linux.
Gezien de meeste mobo fabrikanten, zeggen dat men alles in de BIOS kunt uitzetten, dat is dus niet zo.
Alles blijft in slaap modus staan.
Lenovo is niet de enige met dit probleem.
Ze draaien je BIOS de nek om, maken oa cache geheugen aan op CPU en hdd.
Gebruiken 4gb van je schijf als x, waar je installatie bestanden op staan en de a en b worden gebruikt om linux op te zetten en verdeeld in meerdere partities. Daar staat hun back up en je bent op een screen schot in temp aan het werk, zonder dat je het merkt.
22-12-2017, 08:12 door -karma4
Door Legionair: ... en je bent op een screen schot in temp aan het werk, zonder dat je het merkt.

Jij hebt jezelf wel definitief in de voet geschoten hiermee.
22-12-2017, 13:13 door Anoniem
Door Anoniem:
Door Anoniem: Wat heet dit met security te maken?
Beveiliging is ook de integriteit en beschikbaarheid van apparaten beschermen.

Dus elke bug die geintroduceerd wordt door package X voor distro Y moeten we hier gaan behandelen?
22-12-2017, 14:01 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Wat heet dit met security te maken?
Beveiliging is ook de integriteit en beschikbaarheid van apparaten beschermen.

Dus elke bug die geintroduceerd wordt door package X voor distro Y moeten we hier gaan behandelen?

Dat doen 'we' hier ook als OS X een root lek heeft en OS W een fout in het update proces heeft zitten.
In dit geval rommelt OS L in je bios en kan de zaak corrupt maken.
22-12-2017, 16:06 door Tha Cleaner
Door Anoniem:
Dat doen 'we' hier ook als OS X een root lek heeft en OS W een fout in het update proces heeft zitten.
Ik hoop dat je het verschil tussen die 2 wel kan zien. OS X had een mega security issue. Dit is een een driver / kernel probleem. Slordig maar heeft niets met security te maken. Al lost dit eigenlijk wel al je Security issues op.

In dit geval rommelt OS L in je bios en kan de zaak corrupt maken.
Correct, maar is geen Security issue. Het is gewoon een feature (bug) die je systeem onbereikbaar maakt.
In /dev/null past dit topic beter, en Ubuntu heeft er eigenlijk iets mee te maken. "Kernel xxxx stopgezet zou een betere omschrijving zijn".
22-12-2017, 16:52 door Anoniem
Door Tha Cleaner:
Door Anoniem:
Dat doen 'we' hier ook als OS X een root lek heeft en OS W een fout in het update proces heeft zitten.
Ik hoop dat je het verschil tussen die 2 wel kan zien. OS X had een mega security issue. Dit is een een driver / kernel probleem. Slordig maar heeft niets met security te maken. Al lost dit eigenlijk wel al je Security issues op.

In dit geval rommelt OS L in je bios en kan de zaak corrupt maken.
Correct, maar is geen Security issue. Het is gewoon een feature (bug) die je systeem onbereikbaar maakt.
In /dev/null past dit topic beter, en Ubuntu heeft er eigenlijk iets mee te maken. "Kernel xxxx stopgezet zou een betere omschrijving zijn".

Een OS wat in je bios rommelt heeft alles met security te maken. Een OS hoort een BIOS uit te lezen niet te corrumperen.
22-12-2017, 17:52 door karma4
Door The FOSS:
Door Legionair: ... en je bent op een screen schot in temp aan het werk, zonder dat je het merkt.

Jij hebt jezelf wel definitief in de voet geschoten hiermee.
Vramfs ? Het is wel heel ouderwets voor memory beheer.
Doet me denken aan de jaren 80 286 emm.sys.
Het memory issue van tijdelijke files, ooit gezien dat je zelf mainframes er mee kan blokkeren door ondoordacht gebruik.
22-12-2017, 19:29 door Ron625
Door Anoniem:
Een OS wat in je bios rommelt heeft alles met security te maken. Een OS hoort een BIOS uit te lezen niet te corrumperen.
Het is NIET het OS, maar een Intel driver .........
22-12-2017, 20:02 door Anoniem
Door Ron625:
Door Anoniem:
Een OS wat in je bios rommelt heeft alles met security te maken. Een OS hoort een BIOS uit te lezen niet te corrumperen.
Het is NIET het OS, maar een Intel driver .........

Die is wel heel erg flauw, het is een driver die standaard met het OS megeleverd wordt en default ingeschakeld staat in de kernel. Gewoon een OS security probleem dus.
22-12-2017, 20:10 door karma4
Door Ron625:
Het is NIET het OS, maar een Intel driver .........
Drivers ongeacht wie het gemaakt heeft vormen op execurietijd een onderdeel van het OS. Het is de logische vraag wie intrrupts (pre emptive) hardware mag aanspreken.

Met e eed n goed ontworpen os kan wel een vastlopen krijgen maar hardware hoort nooit zo naar beschadigd te raken (overbelasting daargelaten). De oude rotten zouden er om de onkunde hun hoofdschudden en als het toch gebeurde.

In de oss wereld kan zoiets als corrumperen van een bios uefi of wat dan ook nooit gebeuren want iedereen kijkt de code na.
22-12-2017, 20:49 door Anoniem
Door Ron625:
Door Anoniem:
Door Anoniem: Stiekem geeft het aan hoe fragiel (U)EFI is.
Moet zijn: "Stiekem geeft het aan hoe fragiel Ubuntu / Software is"
Kan je dat onderbouwen?
Een paar hardware fabrikanten halen truukjes uit en een software leverancier krijgt de schuld?
Ze moeten gewoon de specificaties, of de source, van die UEFI/BIOS publiceren, zodra deze afwijkt van de standaard.
Wie was het laatst met zijn code? Die heeft het niet getest onder alle omstandigheden. Daarom is software fragiel. Of het Ubuntu of BIOS is dat maakt niet uit.
22-12-2017, 22:45 door -karma4
Door karma4: In de oss wereld kan zoiets als corrumperen van een bios uefi of wat dan ook nooit gebeuren want iedereen kijkt de code na.

Inderdaad! En dat maakt de kans op zoiets veel kleiner dan in de closed source wereld. Maar niet nul (zoals je ziet).
22-12-2017, 23:51 door Anoniem
Een met karma4.

Daarom nogmaals de stelling beter afstappen van handrolled code en gaan voor een meer generieke gezamenlijk door specialisten gecodeerde oplossing.
23-12-2017, 12:59 door Anoniem
Beste en gewaardeerde draad-posters hier,

Wie zijn er hier binnen deze draad geslaagd voor hun toets databases 2e jaars?
Tha Cleaner krijgt 8,5 en gaat door, karma4 maakt goede vorderingen,
maar krijgt van ons nog een herkansing.. ;),

Grapje, maar alle gekkigheid op een stokje.

Blijkt dus dat sommige leveranciers zich niet houden aan standaarden.

Wie doen dat en wie deden dat nog meer?
Wat ligt eraan ten grondslag en we weten meer.

De praktijk is dus anders dan "de leer" en daar moet rekening mee worden gehouden en dat dient getest.

Waarom denkt u dat zelfs doorsnee Joep-n00b.01 al argwaan begint te krijgen en ook al door begint te krijgen,
dat de gepropageerde leer en de uiteindelijke praktijk al flink binnen te divergeren
en we soms flink opzettelijk of niet op het verkeerde been worden gezet.

Allemaal prettige feestdagen gewenst en succes met jullie kali lunix anti-malware verkenningen.

Jodocus Oyevaer
23-12-2017, 13:10 door karma4
Door The FOSS:
Door karma4: In de oss wereld kan zoiets als corrumperen van een bios uefi of wat dan ook nooit gebeuren want iedereen kijkt de code na.

Inderdaad! En dat maakt de kans op zoiets veel kleiner dan in de closed source wereld. Maar niet nul (zoals je ziet).
Het was wat sarcastisch bedoeld. Intel AMD IBM Oracle Google en alle ander grote jongens doneren de code aan open source gemeenschappen als niet onderscheidend algemeen iets. Het voordeel is dat ze ook niet meer aansprakelijk gesteld worden op foute code. Het valideren van de code is een onmogelijkheid gezien de omvang en complexiteit.
Met closed source heb je een leverancier die je kan en hoort aan te spreken bij problemen. Nu gebeurt dat veel te weinig maar in een volwassen industrie is dat wel normaal.

Het maakt mij niet veel uit wat er op laag niveau ergens ingezet wordt, als dat maar op een manier gebeurd die te verantwoorden is voor de gehele informatieveiligheid. Dat is echt wat anders dan enkele naar een OS kijken.
Voor het overige vind ik dit gebeuren van corrumperen machines vermakelijk, ik zie de echte schade niet.
23-12-2017, 13:41 door Anoniem
Intel -Spi driver in de kernel verwijderen!
23-12-2017, 22:02 door Anoniem
Door The FOSS:
Door Legionair: ... en je bent op een screen schot in temp aan het werk, zonder dat je het merkt.

Jij hebt jezelf wel definitief in de voet geschoten hiermee.
Jup. 't raakt kant noch wal.

Door Legionair:
Ze draaien je BIOS de nek om, maken oa cache geheugen aan op CPU en hdd.
Net als dat. Cache geheugen maken? Wat bedoel je precies? Dat Intel op de chip/die L1/L2/L3 caches bakt?

Bepaalde teksten lijken direct van Google Translate te komen, zo'n slechte samenhang.
24-12-2017, 14:50 door Anoniem
Door Anoniem:
Door The FOSS:
Door Legionair: ... en je bent op een screen schot in temp aan het werk, zonder dat je het merkt.

Jij hebt jezelf wel definitief in de voet geschoten hiermee.
Jup. 't raakt kant noch wal.

Door Legionair:
Ze draaien je BIOS de nek om, maken oa cache geheugen aan op CPU en hdd.
Net als dat. Cache geheugen maken? Wat bedoel je precies? Dat Intel op de chip/die L1/L2/L3 caches bakt?

Bepaalde teksten lijken direct van Google Translate te komen, zo'n slechte samenhang.

zou het kunnen zijn dat sommige posters stiekem een brakke chat bot zijn? verklaard wel de frequente onsamenhang van enkele reacties en posters hier :).
24-12-2017, 19:55 door Anoniem
Door Legionair:
Door Ron625:
Door Anoniem:
Door Anoniem: Stiekem geeft het aan hoe fragiel (U)EFI is.
Moet zijn: "Stiekem geeft het aan hoe fragiel Ubuntu / Software is"
Kan je dat onderbouwen?
Een paar hardware fabrikanten halen truukjes uit en een software leverancier krijgt de schuld?
Ze moeten gewoon de specificaties, of de source, van die UEFI/BIOS publiceren, zodra deze afwijkt van de standaard.

Wij volgen ze al dik een jaar. Ze maken gebruik van Kali Linux.
.
Jij bent toch glasvezelkabeltrekker in de audiobiz?
Wie is dan wij en wie is ze?
En waar ligt de expertise wel en waar niet?
De nachtelijke uurtjes nog daargelaten.
27-12-2017, 08:37 door Anoniem
Door Anoniem:
Door Anoniem: Wat heet dit met security te maken?
Beveiliging is ook de integriteit en beschikbaarheid van apparaten beschermen.
Het standaard BIV sausje wordt weer uitgekotst. Krijg ik ook altijd weer over me heen van security nonono's als ik zeg dat ik als security officer me niet met beschikbaarheid bemoei want de business is verantwoordelijk voor de beschikbaarheid. Zaken die beschikbaarheid bedreigen zitten in de andere onderdelen namelijk de I en de V, en eigenlijk het meest in de I. Helaas is dat zelfs aan de uber gecertificeerde, en zichzelf uitgeroepen beveiligingsspecialisten, niet uit te leggen. Als ik de ze ga vragen naar wat voor invloed ze dan op beschikbaarheid hebben staan ze me over het algemeen er wazig aan te kijken. Dan weet ik al genoeg.
27-12-2017, 19:13 door karma4
Door Anoniem:
Het standaard BIV sausje wordt weer uitgekotst. Krijg ik ook altijd weer over me heen van security nonono's als ik zeg dat ik als security officer me niet met beschikbaarheid bemoei want de business is verantwoordelijk voor de beschikbaarheid.
.....
Waarmee je aangeeft voor de security officer rol CSO MSO ongeschikt te zijn. Het enige is dd RSO rol. Dat is de uitvoerende instructies opvolgend operationele taak.
Uitstekend te outsourcen en dan wel offshoren.

Zowel de V veiligheid I integriteit en B beschikbaarheid zijn allemaal verantwoordelijkheden van de business.
Dat is waar het budget en de verantwoording ligt. Alles wat ze inhuren dan wel aanbesteden gebeurt onder die paraplu.

Je geeft nu aan dat je zelf een bedreiging voor de beschikbaarheid bent. Dat is ernstig want een security incident.
28-12-2017, 20:26 door Anoniem
[\quote]Wat heet dit met security te maken?[quote\]

Ik zou zeggen probeer het eens uit op een Lenovo laptop voordat je zulke onzinnige
commentaren geeft.
28-12-2017, 22:21 door Anoniem
Door Anoniem: [\quote]Wat heet dit met security te maken?[quote\]

Ik zou zeggen probeer het eens uit op een Lenovo laptop voordat je zulke onzinnige
commentaren geeft.
Je laptop is dan in eens heel veilig, want hij start niet meer op.

Trouwens dit gebeurde ook op andere distributies en andere hardware.....

Maar ondanks dat dat, het is geen security issue. Het is een technische bug, die niets met security te maken heeft en valt ook niet onder Computerbeveiliging - Hoe je bad guys buiten de deur houdt.

Post het onder een ander forum /dev/null zou beter zijn. Maar dit is meer een tweakers topic.
29-12-2017, 08:47 door Anoniem
Bleeding edge software rulez!!
29-12-2017, 09:00 door Anoniem
Door Anoniem: Het standaard BIV sausje wordt weer uitgekotst. Krijg ik ook altijd weer over me heen van security nonono's als ik zeg dat ik als security officer me niet met beschikbaarheid bemoei want de business is verantwoordelijk voor de beschikbaarheid.
Werkelijk? Dus als niemand meer kan aanloggen omdat jij als security officer een blunder hebt gemaakt dan heeft dat geen invloed op de beschikbaarheid van de systemen? En als ransomware kritische data versleuteld heeft omdat de beveiliging zoals die jij hebt ingericht toch niet helemaal waterdicht blijkt te zijn is de business verantwoordelijk voor het niet beschikbaar zijn ervan?

En ga er niet mee schermen dat backups in dat laatste geval dienen om de beschikbaarheid te waarborgen. Tijdelijk niet beschikbaar zijn van kritische data kan ook ernstig zijn. Het stilvallen van de bedrijfsvoering kost geld, en er bestaan bedrijven die hoge schadeclaims krijgen als ze deadlines niet halen.
29-12-2017, 12:48 door Anoniem
Door Anoniem:
Door Anoniem: Het standaard BIV sausje wordt weer uitgekotst. Krijg ik ook altijd weer over me heen van security nonono's als ik zeg dat ik als security officer me niet met beschikbaarheid bemoei want de business is verantwoordelijk voor de beschikbaarheid.
Werkelijk? Dus als niemand meer kan aanloggen omdat jij als security officer een blunder hebt gemaakt dan heeft dat geen invloed op de beschikbaarheid van de systemen? En als ransomware kritische data versleuteld heeft omdat de beveiliging zoals die jij hebt ingericht toch niet helemaal waterdicht blijkt te zijn is de business verantwoordelijk voor het niet beschikbaar zijn ervan?
Als niemand meer kan inloggen, kan dit verschillende oorzaken hebben, En kan een onderdeel van de security officer zijn rol zijn. Maar nog steeds vaak icm met de business, icm de impact van het probleem. Is het probleem hierna nog steeds niet acceptabel voor de business, dan de business hier actie op moeten nemen.

En ga er niet mee schermen dat backups in dat laatste geval dienen om de beschikbaarheid te waarborgen. Tijdelijk niet beschikbaar zijn van kritische data kan ook ernstig zijn. Het stilvallen van de bedrijfsvoering kost geld, en er bestaan bedrijven die hoge schadeclaims krijgen als ze deadlines niet halen.
En dit zijn juist precies de actiepunten voor de business is net niet security technisch.

Maar het een gemeenschappelijke verantwoordelijk.

Net zoals OS patches beschikbaarheid geen onderdeel is van Security. En ja ze moeten gepatches worden met de laatste patches, maar dat is voor de beheers een taak, want die kunnen de impact van de patches icm met de business bepalen.
Als ik maar 1 doos heb draaien, en die gaat onderuit (wegens patches), dan is dit een business aangelegenheid en zal er een businesscase gemaakt moeten worden om dit hoogbeschikbaar te maken.

Toevallig een mooi stukje gevonden:
http://www.computerweekly.com/blog/Risk-Management-with-Stuart-King-and-Duncan-Hart/Availability-and-Security
So, a conclusion. Security and availability are entwined but don’t make the mistake of thinking that every aspect of availability needs to be taken into account.
Dit zegt het juiste precies. Niet iedere aspect voor availability is onderdeel van de security officer. Maar harde kaders zijn er niet het zal altijd een gemeenschappelijke verantwoordelijkheid zijn.
29-12-2017, 21:33 door Legionnaire
Door karma4:
Door The FOSS:
Door Legionair: ... en je bent op een screen schot in temp aan het werk, zonder dat je het merkt.

Jij hebt jezelf wel definitief in de voet geschoten hiermee.
Vramfs ? Het is wel heel ouderwets voor memory beheer.
Doet me denken aan de jaren 80 286 emm.sys.
Het memory issue van tijdelijke files, ooit gezien dat je zelf mainframes er mee kan blokkeren door ondoordacht gebruik.

@Karma4...Juist...ze gebruiken het oude trukje weer en alle hardware in particulier bezit die wij hebben nagelopen, dus van mobieljes, modems, pc's, gameconsoles, smart TV's enz...zijn we geen enkel 'schoon' systeem tegen gekomen en zonder dat de gebruiker maar iets in de gaten had.

Maar volgens @The FOSS heb ik mezelf in de voet geschoten...zoals gewoonlijk wordt geen reden vermeld waarom en/of hoezo en wat het wel moet zijn...

Bijna alle artikelen, die men hier leest, heeft daarmee te maken.
De fabrikanten van hard- en/of software weten dit ook en het is een ware plaag.
Ze zeggen het alleen niet en geven een andere reden van niet funtioneren of lek.

Voorbeelden genoeg:
MOBO fabrikanten, zoals Intel blokkeren tools waar mee men o.a. de CPU, geheugen en meer op het MOBO kunt aanpassen.
Apple met een enorme lek in hun IOS, Microsoft Defender en updates die niet werken, trage mobieltjes met geheugen problemen, beveiligingssoftware en browsers die zwaar aangetast zijn...

Maar let vooral op Google, Android en ook Providers en bedrijven, die allerlei diensten aanbieden en nog geen gebruik maken van glasvezel en dan ook nog routers/modems plaatsen met Linux Firmware, een Hotspot en WiFi en alle ellende waar de klant maar om vraagt...gooi de boel maar open en zo goedkoop mogelijk.

Zij hebben het allemaal maar op z'n beloop gelaten en zijn er altijd vanuit gegaan dat de fabrikanten van beveiligingssoftware en de instanties van beveiligingscertificaten het allemaal wel in de gaten hielden...dus niet.

Microsoft heeft niet voor niets een compleet nieuw besturingssysteem geschreven en toch hebben zij er ook gewoon last van.

Ik heb hier al eens uitgebreid over geschreven, hoe men geinfecteerd wordt en hoe men zelf het kan testen op hun eiegen hardware...een uitgebreid stuk en dat was nog maar het topje van de ijsberg.

Wel geteld, heb ik hier, een reactie gekregen: 'Het was te lang om te lezen' ...maar die het wel hadden gelezen, hebben via mail laten weten, dat ze stuk voor stuk besmet waren...

Maar ja...Dit zal ook wel weer te veel info zijn. :-)
29-12-2017, 23:30 door Legionnaire
Door Anoniem:
Door Legionair:
Door Ron625:
Door Anoniem:
Door Anoniem: Stiekem geeft het aan hoe fragiel (U)EFI is.
Moet zijn: "Stiekem geeft het aan hoe fragiel Ubuntu / Software is"
Kan je dat onderbouwen?
Een paar hardware fabrikanten halen truukjes uit en een software leverancier krijgt de schuld?
Ze moeten gewoon de specificaties, of de source, van die UEFI/BIOS publiceren, zodra deze afwijkt van de standaard.

Wij volgen ze al dik een jaar. Ze maken gebruik van Kali Linux.
.
Jij bent toch glasvezelkabeltrekker in de audiobiz?
Wie is dan wij en wie is ze?
En waar ligt de expertise wel en waar niet?
De nachtelijke uurtjes nog daargelaten.

Ben geen glasvezeltrekker en gebruik mijn/onze kennis soms ook in de audiobiz.

Maar omdat je het zo netjes vraagt, zal ik/ons even voorstellen.
Zelf ben ik dik 25 geleden intern door Microsoft in Redmond opgeleid en stage gelopen, maar tevens bij andere softwarefabrikanten, want dat is een must om je papieren te halen en te behouden.
Eigen ondernemingen gehad in o.a. de ICT en stageres van UT Twente, gezien ik er woon en er vroeger al als klein jochie liep.
Sommige stageres ben ik mee bevriend geraakt en mijn bestaande vriendengroep, zijn er enkele opgeleid en werkzaam op de UT of werkzaam in de ICT.
Aangezien er op de UT veel onderzoek en/of ontwikkeling wordt gedaan, voor o.a. Intel, Tesla, Microsoft en meer...
Ik ga er regelmatig op bezoek of wordt uitgenodigd, gezien ik alle tijd van de wereld heb sinds een paar jaar.

Sinds een paar jaar is daarnaast het militaire Vliegveld Twente ook weer geopend en het zou alleen een test centrum worden, om de veiligheid en beveiliging van drones en hulpdiensten, zoals de brandweer, politie enz. i.s.m. de UT.
Het ging er vooral om, of de systemen niet te hacken zijn en over te nemen.
De UT is wereldwijd erg bekent onder hackers, gezien er veel hun opleiding hier hebben gedaan, doordat alle technologie en kennis hier aanwezig is en de jaarlijkse hackers bijeenkomst.
Hieruit is een groepje onstaan van de beste hackers van de UT van diverse nationaliteiten.
Een paar vrienden zitten daar ook bij en hebben mij gevraagd om erbij te komen.
Niet omdat ik zoveel kennis als hun in huis heb als hacker, absoluut niet, maar gezien mijn opleiding, jarenlange kennis en ervaring met allerlei software pakketten en hardware.
Tevens heeft het ook te maken, dat het vliegveld zo enorm groot is en er steeds meer grote fabrikanten zich melden en er gebruik van willen maken, om er testen te doen of iets door ons te laten testen.
Zoals Airbus heeft hier zijn nieuwe toestel remtesten laten doen op natte landingsbaan en de beveiliging door ons laten testen.
Boeing laat hier hun oude toestellen ontmantellen en tevens deze ook op veiligheid getest, gezien er nog veel rond vliegen.
Tesla's, Mercedes en meer testwagens, die autonome kunnen rijden worden getest enz..enz..

Maar even terug te komen op die 'foute' hackers, deze enorme groep komen uit de 'niet' westerse landen, zoals Oekraine, Rusland, China, Iran, Zuid Amerika...
Ik ben hier destijds achtergekomen, doordat ik nog bij een provider zat die via coax werkte en ik mijn nieuwe laptop binnen kreeg, die niet te hacken is en anders alles afsluit.
Aanmelden op WiFi en installeren/configureren, eenmaal klaar...laptop vol in de ankers, waarschuwingen enz. enz...
Via UTP router in...vreemde firmware...dus router resetten...laptop uit...router backup terug...ik via vaste lijn vriend bellen, werkzaam Microsoft Amsterdam, misschien Bug in Software laptop...bel servicenummer...krijg ik iemand aan de lijn, die opneemt met Microsoft en zegt alleen Engels te kunnen...BS...dit klopt niet...maar even testen.
Ik vraag om doorgeschakeld te worden naar een bepaald internnummer, maar was niet mogelijk, niemand aanwezig...ok.
Kreeg vraag wat het probleem was...ik uitleggen, kreeg opdracht om laptop te starten, naar bepaalde site te gaan, software te dowbloaden en kunnen ze meekijken...
Dus niet...foute boel...opgehangen.
Laptop gestart, weer waarschuwingen...router in en horizonbox...allebei firmware weer aangepast en kon zien, dat Microsoft telefoonnummer werd doorverbonden...en de slimme meter zag ik staan...in de meterkast gaan kijken en die slimmemeter was ook heel erg druk aan het knipperen...Fluk tester erop en ja hoor...via spanningsnet en simkaart pakketjes heen en weer..
Slimmemeter uitgeschakeld...volgende dag provider gebeld en netbeheerder...zijn zelfde dag nog langs geweest en gaven volmondig aan, dat men al bekent was met deze ellende en er niets tegen kunnen doen.
Vrienden bezocht UT, die hebben ze opgespoord en dat doen we nog steeds...
Ben je een hacker en wil je kennis maken...brand OPHCrack op cd..opstarten in textmodus en dan kun je op hun server en kun je kennis maken...succes..
29-12-2017, 23:52 door Legionnaire
Door Anoniem:
Door The FOSS:
Door Legionair: ... en je bent op een screen schot in temp aan het werk, zonder dat je het merkt.

Jij hebt jezelf wel definitief in de voet geschoten hiermee.
Jup. 't raakt kant noch wal.

Door Legionair:
Ze draaien je BIOS de nek om, maken oa cache geheugen aan op CPU en hdd.
Net als dat. Cache geheugen maken? Wat bedoel je precies? Dat Intel op de chip/die L1/L2/L3 caches bakt?

Bepaalde teksten lijken direct van Google Translate te komen, zo'n slechte samenhang.

Daar hebben we er weer eentje.
Anoniem beledigen, domme vragen stellen en zelf geen reactie geven hoe het wel zit of moet.
Dat zegt genoeg...gebrek aan kennis en/of respect...beetje jammer.
30-12-2017, 01:34 door Legionnaire - Bijgewerkt: 30-12-2017, 01:42
Door karma4:
Door The FOSS:
Door Legionair: ... en je bent op een screen schot in temp aan het werk, zonder dat je het merkt.

Jij hebt jezelf wel definitief in de voet geschoten hiermee.
Vramfs ? Het is wel heel ouderwets voor memory beheer.
Doet me denken aan de jaren 80 286 emm.sys.
Het memory issue van tijdelijke files, ooit gezien dat je zelf mainframes er mee kan blokkeren door ondoordacht gebruik.

@karma4, @The FOSS, @Ron625.

Bekijk in het forum de volgende posts eens.

-Hoe veilig is de Opera browser
-Malware PC, gegevens buit gemaakt? Wat nu?
-Exploit voor beveiligingslek in Huawei-routers openbaar
Ik hoor het wel...
30-12-2017, 09:17 door karma4
Door Legionair:@karma4, @The FOSS, @Ron625.
Bekijk in het forum de volgende posts eens.
-Hoe veilig is de Opera browser
-Malware PC, gegevens buit gemaakt? Wat nu?
-Exploit voor beveiligingslek in Huawei-routers openbaar
Ik hoor het wel...
Ik zie een ontwikkelingslijn door de tijd heen, krijg je als je wat langer meeloopt.

Als je alles zelf moet doen, dan:
- bouw je kennis van onderlinge afhankelijkheden en de verbonden risico's op.
- ben je in staat om een verdedigingsstrategie te onderbouwen waarbij niet het onmogelijke en niet het te koste van gaat.
een tijdige herkenning en tijdig herstel en met geringe impact is gewoonlijk voldoende.

Vind het dat het aan een ander overgelaten kan worden zonder onderbouwing verantwoording checks en controle dan:
- krijg je het makkelijk kopieer en plak werk waarbij de pleisters de boel bijeen moet houden. Dat is ongeveer de status van ICT waarin het zich nu bevindt.
- Het wordt niet gemakkelijk doordat een ieder die een kopietje kan maken zich de specialist van het vakgebied waant en helaas ook zo benoemd wordt.
- de paniek als het compleet mis gaat door niet de boel aan de kant te gooien en echt opnieuw te beginnen maar vrolijk in nog kopieer handelingen en acties te gaan stappen.

Gaat het mis en geen zin of tijd laat het een ander doen.
Gaat het mis en is het gezien de leeftijd tijd voor wat anders, neem die stap.
Ben je voorzicht met je eigen data, gebruik het dan ook niet uitbundig maar overwogen.
30-12-2017, 23:53 door Anoniem
Om iets te weten te komen, moet je hier wel weer goed tussen de regeltjes doorlezen.

Zat een beetje te dubben over een toegankelijke wp-admin site op Apache/2.4.7 (Ubuntu) Webserver met nog meer proliferatie: X-Powered-By: PHP/5.5.9-1ubuntu4.22, den an krijg je ineens "Welkom op Global Control 5".
Hoe verzin je de onveiligheid?

Je komt er wel uit als diegenen, die bijdragen aan de discussie hier op deze stek, een beetje weet te plaatsen,
maar soms is het een hele toer. Niet iedereen heeft de zelfde insteek en achtergrond
of kan de materie even goed overbrengen.

Met mijn insteek aangaande website intelligence moet ik soms sommige visies een beetje combineren.
Ik heb hier overigens al wel heel veel opgestoken. Het is een bepaalde aanpak op grond waarvan je verder komt.

Dank, lieve vrienden en vriendinnen allemaal, en ik wens jullie heel veel geluk, gezondheid en veiligheid,
zowel offline als online voor 2018,

Jodocus Oyevaer
31-12-2017, 11:06 door -karma4
Door Anoniem: Dank, lieve vrienden en vriendinnen allemaal, en ik wens jullie heel veel geluk, gezondheid en veiligheid, zowel offline als online voor 2018,

Jodocus Oyevaer

Ook aan jou en de jouwen gewenst, Jodocus!
01-01-2018, 17:08 door Anoniem
Door Ron625: Een test-versie van Ubuntu is altijd nog vele malen veiliger dan een ander OS, waarbij software is geïnstalleerd uit diverse bronnen.
In de ruim 13 jaar dat ik Ubuntu volg, zijn de meeste problemen ontstaan doordat fabrikanten afweken van de standaarden, iets dat Lenovo en Toshiba mogelijk nu ook gedaan hebben.

Ter info: op dit moment gebruik ik (al) 18.04 en ik denk dat ik veiliger ben, dan de meeste lezers hier :-)

Wat een onzin, dat kun je helemaal niet zo beweren en bovendien maak je een verkeerd vergelijk en je bent suggestief zonder iets te bewijzen.

. Dream on..
02-01-2018, 11:01 door -karma4
Door Anoniem:
Door Ron625: Een test-versie van Ubuntu is altijd nog vele malen veiliger dan een ander OS, waarbij software is geïnstalleerd uit diverse bronnen.
In de ruim 13 jaar dat ik Ubuntu volg, zijn de meeste problemen ontstaan doordat fabrikanten afweken van de standaarden, iets dat Lenovo en Toshiba mogelijk nu ook gedaan hebben.

Ter info: op dit moment gebruik ik (al) 18.04 en ik denk dat ik veiliger ben, dan de meeste lezers hier :-)

Wat een onzin, dat kun je helemaal niet zo beweren en bovendien maak je een verkeerd vergelijk en je bent suggestief zonder iets te bewijzen.

Het feit dat hij geen Windows maar Linux gebruikt is voldoende en afdoende bewijs voor zijn stelling dat hij veiliger is dan de meeste lezers hier. Want de meesten gebruiken Windows.
02-01-2018, 11:49 door Anoniem
Door The FOSS:
Het feit dat hij geen Windows maar Linux gebruikt is voldoende en afdoende bewijs voor zijn stelling dat hij veiliger is dan de meeste lezers hier. Want de meesten gebruiken Windows.

Dat zegt niets... Afgezien hoe iemand denkt.....

Windows is gewoon ook veilig te gebruiken, en zo wordt het ook door de meeste gebruikers gebruikt.

De grootste problemen zitten hem nog altijd in: Problem Exists Between Keyboard And Chair ofwel PEBKAC . En daar lost geen OS iets aan op.
02-01-2018, 13:20 door -karma4
Door Anoniem:
Door The FOSS:
Het feit dat hij geen Windows maar Linux gebruikt is voldoende en afdoende bewijs voor zijn stelling dat hij veiliger is dan de meeste lezers hier. Want de meesten gebruiken Windows.

Windows is gewoon ook veilig te gebruiken, en zo wordt het ook door de meeste gebruikers gebruikt.

De grootste problemen zitten hem nog altijd in: Problem Exists Between Keyboard And Chair ofwel PEBKAC . En daar lost geen OS iets aan op.

Ha, ha! Windows is als een Trabant (karton en zonder kreukelzones) in een vergelijking met Linux. En jij wilt de gebruiker de schuld geven? Als je bedoelt dat hij niet voor Windows had moeten kiezen, dan en alleen dan heb je een punt.
02-01-2018, 19:42 door Tha Cleaner - Bijgewerkt: 02-01-2018, 19:43
Door The FOSS:
Ha, ha! Windows is als een Trabant (karton en zonder kreukelzones) in een vergelijking met Linux. En jij wilt de gebruiker de schuld geven? Als je bedoelt dat hij niet voor Windows had moeten kiezen, dan en alleen dan heb je een punt.
Blijkbaar heb je weinig ervaring met (echte) gebruikers? Dan weet je namelijk waar de meeste problemen vandaan komen.
Daarnaast beheer ik heel wat Windows omgevingen, met weinig problemen. Van 1 tot 18K gebruikers.
De problemen die er zijn, daar komen de meesten toch echt door de gebruikers, of falende hardware. Daar komen toch echt de meeste problemen vandaag. Windows zelf levert eigenlijk vrij weinig probleem.

Misschien lullig om te zetten, voor de rest zegt je opmerkingen genoeg.
02-01-2018, 20:24 door [Account Verwijderd]
Door The FOSS:
Door Anoniem:
Door The FOSS:
Het feit dat hij geen Windows maar Linux gebruikt is voldoende en afdoende bewijs voor zijn stelling dat hij veiliger is dan de meeste lezers hier. Want de meesten gebruiken Windows.

Windows is gewoon ook veilig te gebruiken, en zo wordt het ook door de meeste gebruikers gebruikt.

De grootste problemen zitten hem nog altijd in: Problem Exists Between Keyboard And Chair ofwel PEBKAC . En daar lost geen OS iets aan op.

Ha, ha! Windows is als een Trabant (karton en zonder kreukelzones) in een vergelijking met Linux. En jij wilt de gebruiker de schuld geven? Als je bedoelt dat hij niet voor Windows had moeten kiezen, dan en alleen dan heb je een punt.

@ Heer, Mevrouw FOSS, Soppen we lekker? Het jaar is nog geen drie dagen oud en je bent nòg niet uitgekeken op de al drie decennia durende Low End Soap My Favorite Operating Dildo? Met welke aflevering ben je nu bezig? Season # 31, Episode 1560 o.i.d.?
Denk je echt dat iemand het nog belangrijk vind dit oeverloos leuterende OS gezweef onder de aandacht te brengen èn houden van de op dit gebied inmiddels tot stomheid verveelde computergebruiker?
Je bent een eenling; een heel grote uitzondering als je denkt dat je hiermee de spijker op de kop raakt.
02-01-2018, 21:43 door Anoniem
Het is het verschil tussen feiten en geloof. De feiten gelooft men of gelooft men niet.
Geloof levert vaak geen feiten op en als het feiten oplevert is het veelal geen geloof meer.

In jezelf geloven betekent je baseren op feitelijkheden die je kent.

Als je alleen feitelijkheden erkent, die je zelf ziet, ben je opnieuw met geloven bezig
en raak je verder en verder van de feiten weg.

Als de feiten je vermoeden(s) ondersteunen heb je aan feitelijke kennis gewonnen.

In jezelf geloven vanwege een bepaald geloof is jezelf voortdurend in de maling nemen.

Windhoos versus linux, closed source versus open source, het zou geen rol moeten spelen.
Code blijft code. Baseer je op de feiten en 1 + 1 = 2.
02-01-2018, 22:16 door -karma4
Door Aha:
Door The FOSS: Ha, ha! Windows is als een Trabant (karton en zonder kreukelzones) in een vergelijking met Linux.

@ Heer, Mevrouw FOSS, ... Denk je echt dat iemand het nog belangrijk vind dit oeverloos leuterende OS gezweef onder de aandacht te brengen èn houden van de op dit gebied inmiddels tot stomheid verveelde computergebruiker?

Je denkt alleen vanuit het perspectief van de security.nl-veteraan. De nieuwelingen hier, de groentjes hebben er wel degelijk veel baat bij om kennis te namen van de nummer 1 der beveiligingstips! Namelijk:

Gebruik geen Windows als je om veiligheid geeft!
02-01-2018, 23:42 door Anoniem
Nog veel meer ellende zit er aan te komen in de pijplijn:
"kernel geheugen lek op Intel processors" maken,
dat zowel linux als het windows ontwerp op de schop moeten.

Zeg ik het al niet langer, want meer en meer blijkt nu dat alles niet is,
zo je dacht dat het was en pn*w*d aangeleverd werd "from the word go".

We komen er enkel steeds meer en meer achter, dat ons sprookjes zijn verteld.

Zelfs de chips waarop we werken zijn al niet meer te vertrouwen.
Is er nu niets meer heilig?

Kennelijk niet dus. How far does this rabbithole go?

Lees hierover: https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/

Hoe past dit in dit plaatje, en gaan de windows en linux adepten nu eindelijk eens toegeven
hoe lang we al op het verkeerde been zijn gezet door het hele westen met zijn SilconValley
en dit eigenlijk al van voor het begin van deze eeuw.

Tijd voor een gezamenlijke actie en niet elkander tegen elkaar laten uitspelen.
Weg met de trolls en disinfo agenten dus!
03-01-2018, 09:15 door Anoniem
Wat heet dit met security te maken?

Tja, het kan nogal wat impact hebben op de integriteit en beschikbaarheid van je systeem. Typische beveiligings issues, integrity en availability. Al denken sommigen bij beveiliging enkel aan confidentiality.

Ha, ha! Windows is als een Trabant (karton en zonder kreukelzones) in een vergelijking met Linux.

Slaapverwekkend.
03-01-2018, 09:33 door karma4
Door Anoniem: ...
Hoe past dit in dit plaatje, en gaan de windows en linux adepten nu eindelijk eens toegeven
hoe lang we al op het verkeerde been zijn gezet door het hele westen met zijn SilconValley
en dit eigenlijk al van voor het begin van deze eeuw.

Tijd voor een gezamenlijke actie en niet elkander tegen elkaar laten uitspelen.
Weg met de trolls en disinfo agenten dus!
Dank je, je hebt door wat het gevolg van merk haat dan wel merk verslaving is.
Het probleem met verslaafden is dat dat ze zoiets niet willen toegeven.

De nieuwelingen hier, de groentjes hebben er baat bij om die kennis en dat inzicht op tijd te krijgen voordat zij ook in die val opgesloten zitten.
03-01-2018, 10:13 door -karma4
Door karma4:
Door Anoniem: ...
Hoe past dit in dit plaatje, en gaan de windows en linux adepten nu eindelijk eens toegeven
hoe lang we al op het verkeerde been zijn gezet door het hele westen met zijn SilconValley
en dit eigenlijk al van voor het begin van deze eeuw.
Dank je, je hebt door wat het gevolg van merk haat dan wel merk verslaving is.
Het probleem met verslaafden is dat dat ze zoiets niet willen toegeven.

Zegt de Microsoft adept die niet wil toegeven dat hij het alleen over merkverslaving heeft wanneer er in een discussie tegen Microsoft in wordt gegaan.

Door karma4: De nieuwelingen hier, de groentjes hebben er baat bij om die kennis en dat inzicht op tijd te krijgen voordat zij ook in die val opgesloten zitten.

Hoe durf je nieuwelingen en groentjes willens en wetens de bodemloze put der ellende die Windows heet in te leiden!
03-01-2018, 11:08 door Tha Cleaner
Door The FOSS:
Door Aha:
Door The FOSS: Ha, ha! Windows is als een Trabant (karton en zonder kreukelzones) in een vergelijking met Linux.

@ Heer, Mevrouw FOSS, ... Denk je echt dat iemand het nog belangrijk vind dit oeverloos leuterende OS gezweef onder de aandacht te brengen èn houden van de op dit gebied inmiddels tot stomheid verveelde computergebruiker?

Je denkt alleen vanuit het perspectief van de security.nl-veteraan. De nieuwelingen hier, de groentjes hebben er wel degelijk veel baat bij om kennis te namen van de nummer 1 der beveiligingstips! Namelijk:

Gebruik geen Windows als je om veiligheid geeft!

Gebruik Linux ook, als je geen van je standaard applicaties wilt draaien. Ofwel je hebt een veilig besturingssysteem, maar kan er eigenlijk niets mee. Even afgezien de hardware toch niet altijd zo goed ondersteund wordt als belooft, zeker niet op laptops.
Echt een top advies voor nieuwelingen, je moet wel alles vertellen. Immers de meeste standaard gebruikte applicaties doen het er niet op. Dat is best wel een klein puntje om niet te vergeten.

Wil je trouwens echt een veilig besturingssysteem, ga dan voor OpenBSD. Dan je het tenminste echt goed. Zo ben ik ook begonnen. Meteen die hard gaan. Dan leer je pas echt troubleshooten en de cli.

Door The FOSS:
Zegt de Linux adept die niet wil toegeven dat hij het alleen over merkverslaving heeft wanneer er in een discussie tegen Linux in wordt gegaan.

Door The FOSS:
Hoe durf je nieuwelingen en groentjes willens en wetens de bodemloze put der ellende die Linux heet in te leiden!

Ik heb even een kleine aanpassing op je post gedaan. Misschien moet je deze even doorlezen? Want ik lees namelijk exact het zelfde.

Kleine extra vraag: voor de rest gaat wel alles goed met je? Ik bedoel dit niet verkeer, maar het is net 2018, en het lijkt momenteel wel of je de loopgraven oorlog bent begonnen met je post.
Daarom even de vraag of alles met je goed gaat? Je reacties zijn een beetje overdreven.
03-01-2018, 12:18 door -karma4
Door Tha Cleaner:
Door The FOSS:
Door Aha:
Door The FOSS: Ha, ha! Windows is als een Trabant (karton en zonder kreukelzones) in een vergelijking met Linux.

@ Heer, Mevrouw FOSS, ... Denk je echt dat iemand het nog belangrijk vind dit oeverloos leuterende OS gezweef onder de aandacht te brengen èn houden van de op dit gebied inmiddels tot stomheid verveelde computergebruiker?

Je denkt alleen vanuit het perspectief van de security.nl-veteraan. De nieuwelingen hier, de groentjes hebben er wel degelijk veel baat bij om kennis te namen van de nummer 1 der beveiligingstips! Namelijk:

Gebruik geen Windows als je om veiligheid geeft!

Gebruik Linux ook, als je geen van je standaard applicaties wilt draaien. Ofwel je hebt een veilig besturingssysteem, maar kan er eigenlijk niets mee.

Dat veilige besturingssysteem lijkt mij een primaire levensbehoefte. Dat je er niets mee kan klopt niet want ik doe er alles mee.

Door Tha Cleaner: Even afgezien de hardware toch niet altijd zo goed ondersteund wordt als belooft, zeker niet op laptops.
Echt een top advies voor nieuwelingen, je moet wel alles vertellen. Immers de meeste standaard gebruikte applicaties doen het er niet op. Dat is best wel een klein puntje om niet te vergeten.

Welke standaard applicaties? Ik heb geen enkel probleem daarmee. Ik draai LibreOffice voor het kantoor en administratiewerk. OpenJDK, Emacs en Eclipse voor het ontwikkelwerk. Chromium en Thunderbird voor het internetten. Enzovoorts. Allemaal grotendeels platformonafhankelijke software (die zelfs op Windows beschikbaar is).

Door Tha Cleaner: Wil je trouwens echt een veilig besturingssysteem, ga dan voor OpenBSD. Dan je het tenminste echt goed. Zo ben ik ook begonnen. Meteen die hard gaan. Dan leer je pas echt troubleshooten en de cli.

Ik heb tijden Gentoo gedraaid dus van troubleshooten en command line weet ik alles af. OpenBSD heb ik ook gedraaid maar daar ben ik mee moeten stoppen omdat de ondersteuning voor JavaFX ontbrak toen ik dat nodig had voor mijn ontwikkelwerk.

Door Tha Cleaner:
Door The FOSS:
Zegt de Linux adept die niet wil toegeven dat hij het alleen over merkverslaving heeft wanneer er in een discussie tegen Linux in wordt gegaan.

Ik heb het volgens mij nog nooit over merkverslaving gehad.

Door Tha Cleaner:
Door The FOSS:
Hoe durf je nieuwelingen en groentjes willens en wetens de bodemloze put der ellende die Linux heet in te leiden!

Ik heb even een kleine aanpassing op je post gedaan. Misschien moet je deze even doorlezen? Want ik lees namelijk exact het zelfde.

Met het verschil dat Windows in tegenstelling tot Linux onveilig is. Nieuwelingen naar een onveilig besturingssysteem leiden op een security forum? Je moet het maar durven!

Door Tha Cleaner: Kleine extra vraag: voor de rest gaat wel alles goed met je? Ik bedoel dit niet verkeer, maar het is net 2018, en het lijkt momenteel wel of je de loopgraven oorlog bent begonnen met je post.
Daarom even de vraag of alles met je goed gaat? Je reacties zijn een beetje overdreven.

Dank je voor de vraag. Het gaat goed met mij hoor. Het heeft meer met voornemens voor het nieuwe jaar te maken. Maar ik heb mijn punt ondertussen wel gemaakt denk ik dus zal ermee ophouden.
03-01-2018, 17:24 door Anoniem
Zitten de gevaren ook niet voor een flink deel buiten het operationeel systeem, zoals al de gevaren van het opsparen van kwetsbaarheden door Microsoft en het moeten lopen aan de leiband van de grote Amerikaanse tech bedrijven?

Natuurlijk zijn er verschillen in opbouw en basis concept. Natuurlijk is er een groot verschil in het security bewustzijn van de gebruikers van het ene en andere OS. Linux heeft meer security aware users en meer power users. Ze zitten al met dat aureooltje op achter hun toetsenbordjes.

Ik zou wel eens het oordeel willen horen van een operationele omgevingsanalyst en niet van een fanboy met een of ander ronkend vooroordeel. Een verkeerd geconfigureerde kwetsbare linux naamserver is even kwalijk als de Windhoos gatenkaas machine van Jan met de korte achternaam en zijn aanhang.

Android is bij voorbeel ook een smaakje linux. Nou, echt waar, ik kan er de veiligheid niet vanaf kijken en als ik dan zie dat men een laptop omgeving ook hier steeds meer op wil laten lijken en de voortschrijdende browser engine en apps gelijkvormigheid, dan denk ik weleens, dat we voor veiligheidsbedreigingen echt heel ergen anders moeten gaan kijken en het ons beetje bij beetje langzaam overwoekerd heeft. (data goudgravers, surveillance staat en belangen, wegvallen van controle en handhavingen ten faveure van multinational interessen, het langzaam afglijden naar een dystopische realiteit,
slechte IT opleidingen, desinteresse, onbenul en de macht van de niets wetende CEO en manager).

Als we nu steeds weer in steeds andere vorm met zero-days van onveiligheid uit de vorige eeuw te maken krijgen, dan klopt er toch eerder iets niet aan het systeem en dat heeft in die strikte zin niets met een OS van doen?. Men wilde vogelvoer maken van de eindgebruiker ten behoeve van dit en dat en nog wat en voornamelijk met als hoofreden het grote geld.

Volg dat spoor en je komt eruit of zeker dichter bij de waarheid. Waarom kreeg je telemetry W10 gratis door de strot geduwd, waarom moet je elke twee jaar aan een nieuwe smartphone? Waarom zitten we volgepropt met gevaarlijke en onveilige smart-gedreven IoT zooi?

We komen er nauwelijks nog los van. Blijf kijken en blijf onbevooroordeeld kijken. Gebruik die modus eens, het brengt je terug bij je juiste security instinct, wezenlijk waar!

luntrus
03-01-2018, 17:46 door -karma4
Door Anoniem: Android is bij voorbeel ook een smaakje linux. Nou, echt waar, ik kan er de veiligheid niet vanaf kijken en als ik dan zie dat men een laptop omgeving ook hier steeds meer op wil laten lijken en de voortschrijdende browser engine en apps gelijkvormigheid, dan denk ik weleens, dat we voor veiligheidsbedreigingen echt heel ergen anders moeten gaan kijken en het ons beetje bij beetje langzaam overwoekerd heeft.

luntrus

De statistieken over malware in the wild spreken toch boekdelen. Aan verschillen in populariteit kan het ditmaal niet liggen.
03-01-2018, 19:21 door karma4 - Bijgewerkt: 03-01-2018, 19:26
Door The FOSS:
....
De statistieken over malware in the wild spreken toch boekdelen. Aan verschillen in populariteit kan het ditmaal niet liggen.
Met die statistieken heb je helemaal gelijk. https://www.cvedetails.com/top-50-products.php?year=2017
Met kop en schouder en borst boven alles uit in het aantal kwetsbaaheden.
No1 Android met het onwaarschijnlijke aantal 841
No2 Linux kernel 435
No3 IPhone OS 387
Dan volgt de rest.

Zegt de Microsoft adept die niet wil toegeven dat hij het alleen over merkverslaving heeft wanneer er in een discussie tegen Microsoft in wordt gegaan.
Ik heb niets met microsoft dat fantaseer je er zelf bij met je eigen vijandbeeld.
Mijn wereld is big data weet je nog. Dan is big data helaas afhankelijk van linuxadepten die dat niet snappen.
Met een achtergrond op meerdere OS-sen is die houding van adepten zeer storend.
03-01-2018, 19:39 door Legionnaire
Door karma4:
Door Legionair:@karma4, @The FOSS, @Ron625.
Bekijk in het forum de volgende posts eens.
-Hoe veilig is de Opera browser
-Malware PC, gegevens buit gemaakt? Wat nu?
-Exploit voor beveiligingslek in Huawei-routers openbaar
Ik hoor het wel...
Ik zie een ontwikkelingslijn door de tijd heen, krijg je als je wat langer meeloopt.

Als je alles zelf moet doen, dan:
- bouw je kennis van onderlinge afhankelijkheden en de verbonden risico's op.
- ben je in staat om een verdedigingsstrategie te onderbouwen waarbij niet het onmogelijke en niet het te koste van gaat.
een tijdige herkenning en tijdig herstel en met geringe impact is gewoonlijk voldoende.

Vind het dat het aan een ander overgelaten kan worden zonder onderbouwing verantwoording checks en controle dan:
- krijg je het makkelijk kopieer en plak werk waarbij de pleisters de boel bijeen moet houden. Dat is ongeveer de status van ICT waarin het zich nu bevindt.
- Het wordt niet gemakkelijk doordat een ieder die een kopietje kan maken zich de specialist van het vakgebied waant en helaas ook zo benoemd wordt.
- de paniek als het compleet mis gaat door niet de boel aan de kant te gooien en echt opnieuw te beginnen maar vrolijk in nog kopieer handelingen en acties te gaan stappen.

Gaat het mis en geen zin of tijd laat het een ander doen.
Gaat het mis en is het gezien de leeftijd tijd voor wat anders, neem die stap.
Ben je voorzicht met je eigen data, gebruik het dan ook niet uitbundig maar overwogen.

Wat je zegt: Als je al een tijdje meeloopt, ook heeft men 'echt' verstand van zaken en is bij de tijd op zowel software en hardware gebied.
Dat bijna alles wat men hier leest en/of vraagt direct of indirect met elkaar te maken hebben en er een duidelijk patroon zichtbaar is.

De veiligheid en de daarbij behoordende oplossingen, staan momenteel boven aan het lijstje van alle fabrikanten en zeker als het gaat om de producten op de particuliere markt.

In jou reactie, geef je duidelijk aan, waaraan het ligt en geeft advies...en niet 'anoniem' negatief reageren zonder onderbouwing en het liefst ook nog beledigen.

Uit deze reacties, kan men het gebrek aan kennis aflezen.
En al helemaal als men beweerd dat een bepaalde OS het 'beste' en 'veiligste' is en dit dan ook nog met weblinkjes probeerd te ondersteunen.
Dan heb je er helemaal geen kaas van gegeten...want alles valt en staat met de kennis en kunde van de gebruiker.

Tevens is er ook nog een heel groot verschil tussen een zakelijke verbinding en particuliere verbinding, want in reacties lees ik ook vaak dat men aangeeft dat men op een bedrijfsnetwerk zit en nergens last van heeft...welke OS dan ook.
Ja..koekoek...nog al logisch...kijk alleen al, wat er hardware-/softwarematig voorzit en dan de configutatie van alles, voordat men via een bedrijfsbedrijfsnetwerk verbinding kan en mag maken met het internet...

I.p.v. dat we samenwerken en gebruik van elkaars kennis, zoals op zakelijke fora, dan komen we een stuk verder en kunnen we van elkaar leren.

Maarja...ik wens iedereen van/op Security.nl een heel gelukkig nieuwjaar en veel wijzheid. :-)
03-01-2018, 19:48 door Legionnaire
Door Anoniem: Om iets te weten te komen, moet je hier wel weer goed tussen de regeltjes doorlezen.

Zat een beetje te dubben over een toegankelijke wp-admin site op Apache/2.4.7 (Ubuntu) Webserver met nog meer proliferatie: X-Powered-By: PHP/5.5.9-1ubuntu4.22, den an krijg je ineens "Welkom op Global Control 5".
Hoe verzin je de onveiligheid?

Je komt er wel uit als diegenen, die bijdragen aan de discussie hier op deze stek, een beetje weet te plaatsen,
maar soms is het een hele toer. Niet iedereen heeft de zelfde insteek en achtergrond
of kan de materie even goed overbrengen.

Met mijn insteek aangaande website intelligence moet ik soms sommige visies een beetje combineren.
Ik heb hier overigens al wel heel veel opgestoken. Het is een bepaalde aanpak op grond waarvan je verder komt.

Dank, lieve vrienden en vriendinnen allemaal, en ik wens jullie heel veel geluk, gezondheid en veiligheid,
zowel offline als online voor 2018,

Jodocus Oyevaer

@Jodocus Oyevaer. Ik wens je hetzelfde...:-)
03-01-2018, 19:55 door -karma4
Door karma4:
Door The FOSS:
....
De statistieken over malware in the wild spreken toch boekdelen. Aan verschillen in populariteit kan het ditmaal niet liggen.
Met die statistieken heb je helemaal gelijk. https://www.cvedetails.com/top-50-products.php?year=2017
Met kop en schouder en borst boven alles uit in het aantal kwetsbaaheden.
No1 Android met het onwaarschijnlijke aantal 841
No2 Linux kernel 435
No3 IPhone OS 387
Dan volgt de rest.

(a) Welbeschouwd is Android is geen besturingssysteem (het onderliggende Linux wel).
(b) Veel problemen vinden en oplossen geeft aan dat Google een erg goede kwaliteitscontrole heeft. Problemen die worden opgelost voordat ze problemen in het veld veroorzaken, dat zouden alle softwarefabrikanten moeten willen.
(c) Het gaat natuurlijk om problemen 'in the wild'. Als iets is opgelost voordat het problemen kan veroorzaken of iets alleen theoretisch een kwetsbaarheid is dan is het niet relevant (meer).

De statistieken geven aan dat Microsoft Windows het allermeest last heeft van malware. Dat kan komen door:

(1) Intrinsiek crappy software.
(2) Een belabberde kwaliteitscontrole waardoor problemen niet tijdig worden gevonden en opgelost, zodat men er in het veld last mee krijgt.
(3) Microsoft Windows heeft een ongeëvenaarde (en aangetoonde) reputatie v.w.b. malware in the wild.
03-01-2018, 21:28 door Legionnaire
Door Anoniem: Zitten de gevaren ook niet voor een flink deel buiten het operationeel systeem, zoals al de gevaren van het opsparen van kwetsbaarheden door Microsoft en het moeten lopen aan de leiband van de grote Amerikaanse tech bedrijven?

Natuurlijk zijn er verschillen in opbouw en basis concept. Natuurlijk is er een groot verschil in het security bewustzijn van de gebruikers van het ene en andere OS. Linux heeft meer security aware users en meer power users. Ze zitten al met dat aureooltje op achter hun toetsenbordjes.

Ik zou wel eens het oordeel willen horen van een operationele omgevingsanalyst en niet van een fanboy met een of ander ronkend vooroordeel. Een verkeerd geconfigureerde kwetsbare linux naamserver is even kwalijk als de Windhoos gatenkaas machine van Jan met de korte achternaam en zijn aanhang.

Alles hangt gewoon af van de gebruiker zijn kennis en vaardigheden, omtrent alle soft- en hardware, die men gebruikt en heeft geconfigureerd.
Het heeft niets met de OS te maken, gezien elke OS tevens afhankelijk is van allerlei andere factoren, die invloed hebben op de veiligheid en gebruiksvriendelijkheid.

Linux is een mooie open source OS, die zelfs door Microsoft wordt gebruikt ism hun eigen software, op de servers van bv datacenters.
Alleen het grote verschil is natuurlijk, o.a. de hardware die men gebruikt en de kennis die men in huis heeft van welke softwarefabrikant dan ook.

Alles en iedereen is afhankelijk van elkaar en dat Microsoft nou eenmaal ver boven iedereen uitsteekt en altijd zal blijven, hebben ze destijds niet voor niets, asl enige, een compleet nieuwe OS geschreven...W7 en het voornaamste is de browser Edge...want destijds en nog steeds is Java zo lek als maar kan en Edge heeft geen Java nodig.
Maar bij W8 is men er achter gekomen, dat er teveel van de gebruiker zijn kennis en vaardigheden werd gevraagd en hebben W10 gebruiksvriendelijker gemaakt en de upgrade naar W10 is ook nog eens gratis...hoezo geld genoeg.

Maar zolang de gebruiker, door onwetendheid en gebrek aan kennis, nog steeds allerlei software gebruikt, die gebruik maken van Java en vooral browsers zoals Google Chrome...is er geen enkele OS goed te beveiligen.
Laat staan de hardware die men gebruikt...de fabrikanten die voor de particuliere markt alles maken, hebben de klant ook val alles wijs gemaakt en zitten nu met een groot probleem.

Android is bij voorbeel ook een smaakje linux. Nou, echt waar, ik kan er de veiligheid niet vanaf kijken en als ik dan zie dat men een laptop omgeving ook hier steeds meer op wil laten lijken en de voortschrijdende browser engine en apps gelijkvormigheid, dan denk ik weleens, dat we voor veiligheidsbedreigingen echt heel ergen anders moeten gaan kijken en het ons beetje bij beetje langzaam overwoekerd heeft. (data goudgravers, surveillance staat en belangen, wegvallen van controle en handhavingen ten faveure van multinational interessen, het langzaam afglijden naar een dystopische realiteit,
slechte IT opleidingen, desinteresse, onbenul en de macht van de niets wetende CEO en manager).

Momenteel hebben alle OS en software fabrikanten problemen omtrent beveiliging, tevens Microsoft ondanks hun nieuwe OS, doordat de gebruiker allerlei rotzooi blijft installeren en gebruiken.
Van de fabrikanten en leveranciers, wordt er momenteel zoveel gevraagd, wat hun kennis en mankracht ver te boven gaat en financieel al helemaal niet aan kunnen.
Op Microsoft na dan, die heeft dit allemaal wel en als je helemaal op de hoogte bent, dan weet je dat MS lang geleden de OS fabrikanten al gewaarschuwd heeft, om alle apps niet zomaar toe te laten en te controleren.
Gezien MS uit ervaring spreekt, want zelf hebben ze die fout ook gemaakt vanaf W98 ongeveer, dat iedereen er software voor kon schrijven, gratis gedownloaden en gebrukt kon worden zonder controle op veiligheid.
Dat hebben ze geweten en nu nog steeds...ondanks alle aanbevelingen van MS, installeerd men nog steeds onveilige software op hun systeem, waar de hackers gretig gebruik van maken en weten hierdoor alles te omzijlen.
Zoals Opera, Google Chrome, VGA Free, Boot Software of Restore Disks met div. progjes enz...enz..alles wat Java nodig heeft is een groot lek, maar tevens drivers van hardware fabrikanten zijn onveilig.


Als we nu steeds weer in steeds andere vorm met zero-days van onveiligheid uit de vorige eeuw te maken krijgen, dan klopt er toch eerder iets niet aan het systeem en dat heeft in die strikte zin niets met een OS van doen?. Men wilde vogelvoer maken van de eindgebruiker ten behoeve van dit en dat en nog wat en voornamelijk met als hoofreden het grote geld.

Volg dat spoor en je komt eruit of zeker dichter bij de waarheid. Waarom kreeg je telemetry W10 gratis door de strot geduwd, waarom moet je elke twee jaar aan een nieuwe smartphone? Waarom zitten we volgepropt met gevaarlijke en onveilige smart-gedreven IoT zooi?

We komen er nauwelijks nog los van. Blijf kijken en blijf onbevooroordeeld kijken. Gebruik die modus eens, het brengt je terug bij je juiste security instinct, wezenlijk waar!

Ik geef een onpartijkige mening en sta achter elke OS of merk, gezien mijn kennis en ervaring, heeft alles zijn voor en zijn nadelen en de meesten doen het zeker voor het geld en zullen wel moeten.
En toch neem ik het op voor MS...puur door het gebrek aan kennis en knowhow van de eindgebruikers en niet volledig op de hoogte zijn, hoe de ICT wereld in elkaar steekt en wie waar belang bij heeft of belangen in heeft.
luntrus
03-01-2018, 22:02 door Krakatau
Door Legionair: Alles en iedereen is afhankelijk van elkaar en dat Microsoft nou eenmaal ver boven iedereen uitsteekt en altijd zal blijven, hebben ze destijds niet voor niets, asl enige, een compleet nieuwe OS geschreven...W7 en het voornaamste is de browser Edge...want destijds en nog steeds is Java zo lek als maar kan en Edge heeft geen Java nodig.
Maar bij W8 is men er achter gekomen, dat er teveel van de gebruiker zijn kennis en vaardigheden werd gevraagd en hebben W10 gebruiksvriendelijker gemaakt en de upgrade naar W10 is ook nog eens gratis...hoezo geld genoeg.

Je beseft hopelijk toch wel dat al die problemen - in het verleden - met 'Java' eigenlijk geen problemen met Java waren maar met de Java browserplug-in? En dat die Java browserplug-in zo goed als niet meer gebruikt wordt? En dat Java zelf helemaal 'niet zo lek als een mandje' is.

Door Legionair: Maar zolang de gebruiker, door onwetendheid en gebrek aan kennis, nog steeds allerlei software gebruikt, die gebruik maken van Java en vooral browsers zoals Google Chrome...is er geen enkele OS goed te beveiligen.

Google Chrome 'maakt geen gebruik' van Java maar ondersteunde in het verleden Java applets. Maar dit is volgens mij al sinds 2015 niet meer het geval (https://www.java.com/nl/download/faq/chrome.xml).

Door Legionair: luntrus

Wil je luntrus hierbuiten laten (pas op met je verwarrende quoting).
03-01-2018, 23:27 door Legionnaire
Door Krakatau:
Door Legionair: Alles en iedereen is afhankelijk van elkaar en dat Microsoft nou eenmaal ver boven iedereen uitsteekt en altijd zal blijven, hebben ze destijds niet voor niets, asl enige, een compleet nieuwe OS geschreven...W7 en het voornaamste is de browser Edge...want destijds en nog steeds is Java zo lek als maar kan en Edge heeft geen Java nodig.
Maar bij W8 is men er achter gekomen, dat er teveel van de gebruiker zijn kennis en vaardigheden werd gevraagd en hebben W10 gebruiksvriendelijker gemaakt en de upgrade naar W10 is ook nog eens gratis...hoezo geld genoeg.

Je beseft hopelijk toch wel dat al die problemen - in het verleden - met 'Java' eigenlijk geen problemen met Java waren maar met de Java browserplug-in? En dat die Java browserplug-in zo goed als niet meer gebruikt wordt? En dat Java zelf helemaal 'niet zo lek als een mandje' is.

Door Legionair: Maar zolang de gebruiker, door onwetendheid en gebrek aan kennis, nog steeds allerlei software gebruikt, die gebruik maken van Java en vooral browsers zoals Google Chrome...is er geen enkele OS goed te beveiligen.

Google Chrome 'maakt geen gebruik' van Java maar ondersteunde in het verleden Java applets. Maar dit is volgens mij al sinds 2015 niet meer het geval (https://www.java.com/nl/download/faq/chrome.xml).

Door Legionair: luntrus

Wil je luntrus hierbuiten laten (pas op met je verwarrende quoting).

@ Krakatau
Ik zal luntrus erbuiten houden.

Dan heb een vraag aan jou...wie is het moederbedrijf achter Adobe?
04-01-2018, 00:28 door Anoniem
luntrus werd erin gemoeid en luntrus antwoordt hier graag. (luntrus betekent hondsvot).

Ik vraag me intussen wel het een en ander af en dat is niet zo gek voor iemand die Microsoft NT4 en de kernel heeft gedaan op een officieel Microsoft Opleidingscentrum te midden van allerlei Linux adepten, die het zo nodig moesten gaan uitrollen in ziekenhuizen en de transport sector destijds. Ik heb dus vanaf punt 0 op twee manieren leren kijken.

Ik zat er toen middenin. Wat zag de NT4 event viewer wel en wat zag ie volgens de Linux adepten helemaal niet eens voorbijkomen. Toen heb ik geleerd zonder vooroordeel naar twee verschillende operationele systemen te kijken.

Aan de ene kant een systeem dat we vaak aan de net service kant tegenkomen en een ander systeem, waar het meer om specifiekere toepassingen kan gaan. Het in de lucht tillen van het een tegenover het ander is dus iets totaal verschillends.

Wat ik hier steeds tegenkom is een appelboomgaard bekijken door de ogen van een perenboer.

Waren bepaalde systemen voor het begin van de eeuwwisseling al klaar om zo aan het Internet te worden gehangen?
Had javascript met de kennis van nu nog zo gelanceerd geworden? Ik vraag het me in goeden gemoed echt af.

Bij open code is zo te constateren waarom het gaat, bij closed source is het alleen via andere methoden af te leiden,
je zal moeten gaan debuggen en wat dan nog. Maar we moeten de discussie wel eerlijk op de merites voeren.

Ik doe nu 14 jaar website error hunting en ik leer nog elke dag bij. Ik put daarbij uit ervaring en denk dan, waar heb ik dat eerder voorbij zien komen, waar lijkt dit op en er zijn bepaalde herhalingspatronen?. Wat ik hier vermeld is ook datgene wat ik hier op deze site heb meegekregen van anderen en daar alleen al ben ik dankbaar voor.

Ook wandel ik regelmatig op een Hoge School voor IT studies rond en weet dus van jonge studenten, wat er daar in het veld leeft. Ook dat deel ik regelmatig hier, bij voorbeeld na een toetsje lamda generator berekeningen, terwijl de generator kant en klaar online te vinden valt. Maar ja, men moet de stof ook leren begrijpen en niet de weg op van knippen en plakken en we zien wel waar we uitkomen en anders even naar StackOverflow of een slack of chatforum.

luntrus
04-01-2018, 02:05 door [Account Verwijderd] - Bijgewerkt: 04-01-2018, 02:06
Post van gisteren 21:28 uur:
Dit gaat niet goed.
Ben zelf vaak geen lieverdje in mijn bijdragen en kan me zonder moeite voorstellen dat ik bij anderen met enige regelmaat de galblaas treiter maar nu een bijdrage van de erudiete luntrus hier in de grote quote verhaspelmolen van een contributant veruïneerd wordt....ècht dit gaat fors de treurige kant uit.

Spiff gaf in een ander draadje https://www.security.nl/posting/543674#posting544442 al aan dat de bijdragen van
Legionair "nogal onbegrijpelijk zijn" en ik 'knoop' me hier volledig aan vast.
04-01-2018, 07:11 door karma4
Door The FOSS:
(a) Welbeschouwd is Android is geen besturingssysteem (het onderliggende Linux wel).
(b) Veel problemen vinden en oplossen geeft aan dat Google een erg goede kwaliteitscontrole heeft. Problemen die worden opgelost voordat ze problemen in het veld veroorzaken, dat zouden alle softwarefabrikanten moeten willen.
(c) Het gaat natuurlijk om problemen 'in the wild'. Als iets is opgelost voordat het problemen kan veroorzaken of iets alleen theoretisch een kwetsbaarheid is dan is het niet relevant (meer).

De statistieken geven aan dat Microsoft Windows het allermeest last heeft van malware. Dat kan komen door:

(1) Intrinsiek crappy software.
(2) Een belabberde kwaliteitscontrole waardoor problemen niet tijdig worden gevonden en opgelost, zodat men er in het veld last mee krijgt.
(3) Microsoft Windows heeft een ongeëvenaarde (en aangetoonde) reputatie v.w.b. malware in the wild.
Een drogredenatie van jewelste dezelfde argumenten gelden aan de andere kant ook.
Ubuntu Debian Windows zijn allemaal goed beschouwd ook geen os want met het hele user interface gebeuren en de grafische schil is dat niet de kernel.

Is je niet opgevallen dat de linux Kernel nog steeds in de top staat van aantal fixes.
Ben je blind voor de notoire crappy iot apparaten
Ben je blind voor de slechte crappy big data zaken als Mongo en de s3 buckets. Allemaal linux.
Beter gezegd newnies groentjes die in opdracht van de baas zo goedkoop mogelijk iets afleveren. Security Informatieveiligheid hoeft toch niet want met linux is alles wel goed. Daarmee veroorzaak juist de grootste ellende.
Onkunde en geloof is een slechte combinatie.
04-01-2018, 09:14 door Krakatau - Bijgewerkt: 04-01-2018, 09:14
Door karma4: Is je niet opgevallen dat de linux Kernel nog steeds in de top staat van aantal fixes.

Weinig problemen in the wild gecombineerd met veel gevonden problemen duidt op een goede kwaliteitscontrole. Want alle software bevat fouten. Vind je ze tijdig of niet, daar gaat het om.

Door karma4: Ben je blind voor de notoire crappy iot apparaten
Ben je blind voor de slechte crappy big data zaken als Mongo en de s3 buckets. Allemaal linux.

Gaat hij weer met z'n IoT obsessie! En haalt er meteen nog meer onzin bij! Voor al het bovenstaande geldt dat Linux er helemaal niets mee te maken heeft! En dat het allemaal nog veel erger zou zijn wanneer er Windows zou zijn gebruikt (als dat al mogelijk zou zijn, met de beperkte functionaliteit daarvan).

Door karma4: Beter gezegd newnies groentjes die in opdracht van de baas zo goedkoop mogelijk iets afleveren. Security Informatieveiligheid hoeft toch niet want met linux is alles wel goed. Daarmee veroorzaak juist de grootste ellende.
Onkunde en geloof is een slechte combinatie.

Niet beter gezegd, je draait hier je eigen verhaal 180 graden om! Idioten of gewoon crimineel nalatigen die voor een dubbeltje op de eerste rang willen zitten en een gratis, top kwaliteit basis als Linux - nota bene intensief en zeer succesvol toegepast door toppers als Google en Amazon (die laatste heeft net haar eigen Linux versie publiekelijk beschikbaar gemaakt) - weten te verkloten met pure onkunde en nalatigheid! Dat is het probleem: onkunde! En blijkbaar zit jij in jouw omgeving daar middenin.

http://www.omgubuntu.co.uk/2018/01/amazon-brings-linux-distro-enterprise-making-red-hat-worry
04-01-2018, 09:38 door Anoniem
Door The FOSS:
De statistieken geven aan dat Microsoft Windows het allermeest last heeft van malware. Dat kan komen door:

(1) Intrinsiek crappy software.
(2) Een belabberde kwaliteitscontrole waardoor problemen niet tijdig worden gevonden en opgelost, zodat men er in het veld last mee krijgt.
(3) Microsoft Windows heeft een ongeëvenaarde (en aangetoonde) reputatie v.w.b. malware in the wild.
Je vergeet er een paar.....
(4) Gebruikers........ Je vergeet even dat Windows de meeste standaard gebruikers geeft. Linux gebruikers zijn over het algemeen technischer dan de meeste Windows gebruikers. En daar wordt de meeste malware door triggerd. Windows kan zeker betere code opleveren, dat zal ik niet ontkennen. Maar de meeste thuis virus uitbraken komen voornamelijk door gewoon gebruikers die niet de laatste software gebruiken. Of omdat er ze iets openen wat ze niet zouden moeten openen.
(5) Meeste outdated applicaties zoals flash, Acrobat reader, Java (gelukkig deze bijna niet meer) welke direct in de browser werken.
(6) Grootste markt aandeel? Dus het meeste op te verdienen/effectief? Net zo iets waarom de meeste gehackte websites voornamelijk op een bepaald OS draait.

Bij grote (netwerk) uitbraken waar het fout gaat, is het voornamelijk slecht beheer vaak icm legacy ellende vanuit de business applicaties.

Daarnaast valt het op security best wel mee met Windows, out of the box werkt Windows gewoon best veilig en hebben weinig gebruikers last van virussen, zolang ze maar niet zomaar iets openen en dingen uitvoeren. Als je daar op let, heb je niet zo snel problemen.
Kan Windows beter, zeker weten. Valt niet de ontkennen, is het bagger, nee.

Wat is trouwens jou definitie trouwens van Windows, want als Linux geroepen wordt, dan bestaat dit niet, want het is alleen maar een kernel. En de distributies, die gebruiken de kernel. En de Distributies hebben eigenlijk de meeste (security) update vanwege de vele software. Maar daar hoor je niemand over.
IOT is geen Linux want dat ligt gewoon aan de leverancier die het applicatie beheer slecht doet.
Je ziet soms namelijk als 1 geheel, en dan is het weer iets anders.
04-01-2018, 09:47 door Krakatau
Door Anoniem: Wat is trouwens jou definitie trouwens van Windows, want als Linux geroepen wordt, dan bestaat dit niet, want het is alleen maar een kernel.

Windows is dat wat omvalt bij een probleem. Bij Linux heb je een fatsoenlijke scheiding van kernel en GUI, zodat bij een storing in de een het meestal niet zo is dat de ander omvalt. Bij Windows slaat alles vast bij een probleem dus blijkbaar is dat één grote aan elkaar hangende spaghetti.
04-01-2018, 15:27 door Anoniem
@Aha @Krakatau @legionnair, @ karma4

L.S.

We kunnen dus beter hier eerst even vaststellen dat niet iedere gebruiker al klaar is om linux te gebruiken
of een overstap te overwegen (in welke zin en voor welk device ook, bijvoorbeeld een oude laptop omtoveren tot linux-harded firewall), ook mengelingen (LibreOffice onder windows, eigen dhcp server op Windows) etc.).

Redactielid Reijerman geeft hier een mooi intro met de sage-titel "Oorlog en Vrede" (het lijkt de draad hier wel (knipoog)). https://tweakers.net/reviews/2237/7/20-jaar-linux-de-opmars-van-open-source-oorlog-en-vrede.html

Wel enigszins zeer gedateerd verhaal, het is in computer geschiedenis al meer dan een eeuw geleden geschreven,
maar enfin. Oorlog en Vrede gaat ook over eeuwige waarheden, alleen niet t.a.v. operationele systemen.

karma-4 zou kunnen zeggen "Daarnaast zijn de obstakels die je moet nemen om deze besturingssystemen in je IT-omgeving te integreren veel groter en zul je achteraf spijt hebben van de dag dat je Microsoft vaarwel zei.
Je wordt niet opgenomen door Microsoft. Je bent allang eigendom van ze. Geef het toe!". "M$_Telemetry owns you".

Daarom moeten we ons nu eens maar wat meer gaan richten op de bestaande a priori onveiligheid op onze infrastructuur.

Er zijn vele achtergronden en vele insteken. Het beste dus om naar een concreet voorbeeldje te kijken
en ik heb het dus bij voorbaat over iets waar ik een klein beetje relevante kennis over bezit (website error-hunting)

Nemen we zomaar iets wat we vonden binnen een omgeving, die al een enorme monocultuur heeft, Mainland China,
namelijk asp.net: weixin.html werd ontdekt als kwaadaardig geobfusceerde javascript drive-by download bedreiging
met de bron code te vinden op line 10 hier -> https://quttera.com/detailed_report/xiaoerzhuan.top

Tevens wat php script narigheid als deze code wordt geladen: (gevonden met js unpacker)...
(script) -c.cnzz.com/core.php?id=1260216392&t=z
info: [img] -c.cnzz.com/
info: [decodingLevel=0] found JavaScript
error: undefined variable window["_CNZZD" + b]
error: line:1: SyntaxError: missing ; before statement:
error: line:1: var window["_CNZZD" + b] = 1;
error: line:1: ....^

Moet derhalve als site geblacklist worden enwe zien nog meer fouten en waarschuwingen op een asp scan hier:
https://asafaweb.com/Scan?Url=xiaoerzhuan.top

Ook een alert via Google safe browsing: https://aw-snap.info/file-viewer/?protocol=not-secure&tgt=xiaoerzhuan.top&ref_sel=GSP2&ua_sel=ff&fs=1

Is dit allemaal af te schrijven op het OS, of meer hoe er mee omgesprongen wordt?

Eerder zullen we dus moeten gaan kijken, waar die "undefined variabelen" in het bovenstaande voorbeeld vandaan komen.
StackOverflows Rob W, leidt ons naar de juiste oplossing, die we hier na kunnen lezen in een PHP manual
http://php.net/manual/en/language.types.string.php#language.types.string.syntax.nowdoc

Ga zo eens zitten spitten en verhoog je inzicht en niet reageren om het reageren en snel iemand anders,
waar je het om reden van een gevoelen of eigen visie niet mee eens bent, snel af te branden of te verketteren.

Dan ben je het meest met de eigen frustraties bezig en meer deel van het probleem dan van een eventuele oplossing.

mijn twee centen,

luntrus
04-01-2018, 16:14 door karma4
Door Krakatau:
Windows is dat wat omvalt bij een probleem. Bij Linux heb je een fatsoenlijke scheiding van kernel en GUI, zodat bij een storing in de een het meestal niet zo is dat de ander omvalt. Bij Windows slaat alles vast bij een probleem dus blijkbaar is dat één grote aan elkaar hangende spaghetti.

Andere ervaring linux Unix dat omvalt als jexwat te veel werk geeft. Een fatsoenlijk os zou een goede wlm moeten hebben.
Ach een desktop intéresser me niet zo een enkele gebruiker.
Een server die plat gaat slecht beheerd wordt is pijnlijk. Referentiekader dat ik daarvoor heb is mainframes.

Dan dat iot spul op linux zoals routers. Hard coded users passwords schijnt de norm te zijn. Ligt aan linux want weet niet beter en is we zo goedkoop.
04-01-2018, 21:43 door Ron625
Door karma4: Hard coded users passwords schijnt de norm te zijn. Ligt aan linux want weet niet beter en is we zo goedkoop.
Ligt niet aan Linux, maar aan de samensteller, die een verkeerde configuratie maakt.
Voordeel van OpenSource: Iedereen met kennis mag en kan alles aanpassen (voor eigen [zakelijk] gebruik).
Nadeel van OpenSource: Iedereen zonder kennis mag en kan alles aanpassen (voor eigen [zakelijk] gebruik).
04-01-2018, 22:03 door karma4
Door Ron625:
Door karma4: Hard coded users passwords schijnt de norm te zijn. Ligt aan linux want weet niet beter en is we zo goedkoop.
Ligt niet aan Linux, maar aan de samensteller, die een verkeerde configuratie maakt.
Voordeel van OpenSource: Iedereen met kennis mag en kan alles aanpassen (voor eigen [zakelijk] gebruik).
Nadeel van OpenSource: Iedereen zonder kennis mag en kan alles aanpassen (voor eigen [zakelijk] gebruik).
Als de keus voor Linux is omdat het goedkoop is en je er niets van hoeft te snappen dan ligt het aan Linux.
Het is de redenering die gevolgd om andere de schuld te geven.
Die zelfde wijze van redenering moet je blijven volhouden of je bent zelf inconsequent.
05-01-2018, 06:41 door Krakatau
Door karma4: Ach een desktop intéresser me niet zo een enkele gebruiker.
Een server die plat gaat slecht beheerd wordt is pijnlijk.

Gelukkig zijn er weinig servers met Windows. En gebruiken de internetreuzen (Google, Amazon, etc.) Linux voor hun talloze servers.
05-01-2018, 06:53 door Anoniem
Door Krakatau:
Door karma4: Ach een desktop intéresser me niet zo een enkele gebruiker.
Een server die plat gaat slecht beheerd wordt is pijnlijk.

Gelukkig zijn er weinig servers met Windows. En gebruiken de internetreuzen (Google, Amazon, etc.) Linux voor hun talloze servers.

De Top 500 krachtigste computers, allemaal Linux.
Routers, switches, storage oplossingen etc. etc. etc. allemaal Linux (of varianten daarop).
05-01-2018, 07:25 door karma4
Door Krakatau:
Gelukkig zijn er weinig servers met Windows. En gebruiken de internetreuzen (Google, Amazon, etc.) Linux voor hun talloze servers.
Het is maar hoe je het bekijkt. Toch triest dat de grootste datalekken met onkunde en slecht beheer daar gebeuren.
Kennelijk ligt dat aan linux dat men niet in staat om het wel goed te doen. Hiermee zeg ik niets anders dan kap eens met oss flaming en os bashing.

Voor dat oss argument dat iedereen de code kan zien dus het wel goed zal komen. Je moet de ervaring hebben zelf applicaties beheerd te hebben van 5000+ regels code. Dan weet je dat het onmogelijk is voor een mens om alle impact te doorgronden. Laat staan als het 100.000.000+regels code gaat net afhankelijkheden naar anderen.
Neem nu enkel de processor cache effecten die nu in het nieuws zijn.
05-01-2018, 10:42 door Ron625 - Bijgewerkt: 05-01-2018, 10:44
Door karma4: 22:03
Als de keus voor Linux is omdat het goedkoop is en je er niets van hoeft te snappen dan ligt het aan Linux.

Door karma4: 07:25
Toch triest dat de grootste datalekken met onkunde en slecht beheer daar gebeuren.
Kennelijk ligt dat aan linux dat men niet in staat om het wel goed te doen. Hiermee zeg ik niets anders dan kap eens met oss flaming en os bashing.

Het niet snappen, onkunde en slecht beheer hebben niets te maken met een besturingssysteem.
Dit gebeurt (en zal ook gebeuren) bij alle systemen die er nu en in de toekomst zullen zijn.
Sommigen die zich ICT'er noemen, verdiepen zich er niet voldoende in en denken dat ze alles weten en kunnen.
05-01-2018, 12:31 door karma4
Door Ron625:
Het niet snappen, onkunde en slecht beheer hebben niets te maken met een besturingssysteem.
Dit gebeurt (en zal ook gebeuren) bij alle systemen die er nu en in de toekomst zullen zijn.
Sommigen die zich ICT'er noemen, verdiepen zich er niet voldoende in en denken dat ze alles weten en kunnen.

Eens het helpt dan ook niet om een os flaming bashing beleid te voeren. Zoiets doet meer kwaad dan goed. Een volwassen benadering is aan informatieveiligheid te werken.
05-01-2018, 13:11 door Anoniem
Door Krakatau:
Door karma4: Ach een desktop intéresser me niet zo een enkele gebruiker.
Een server die plat gaat slecht beheerd wordt is pijnlijk.

Gelukkig zijn er weinig servers met Windows.
Hangt er maar vanaf hoe je dit zit? Bijna alle servers bij het MKB zijn Windows.
En als ik een telling hier maak, hebben we meer Windows servers draaien dan overige systemen.

En gebruiken de internetreuzen (Google, Amazon, etc.) Linux voor hun talloze servers.
En wat wil je daar verder mee zeggen?
De meeste webservers draaien ook Linux. En de meeste gehackte webservers draaien ook op Linux.
De meeste datalekken op servers vinden ook plaats op Linux.
Daarnaast als je gaat kijken voor welk besturingssysteem de meeste security updates voor applicaties uitkomen, steekt er ook 1 met kop en schouders boven uit.

Dan kunnen we dus ook concluderen dat de meest onveilig server op Linux draait en je dus statisch gezien beter voor WIndows applicaties kiezen gehost op Windows.
05-01-2018, 14:14 door Krakatau
Door karma4:
Door Krakatau:
Gelukkig zijn er weinig servers met Windows. En gebruiken de internetreuzen (Google, Amazon, etc.) Linux voor hun talloze servers.
Het is maar hoe je het bekijkt. Toch triest dat de grootste datalekken met onkunde en slecht beheer daar gebeuren.
Kennelijk ligt dat aan linux dat men niet in staat om het wel goed te doen. Hiermee zeg ik niets anders dan kap eens met oss flaming en os bashing.

Dus je zet je af tegen OS bashing met een OS bashing van Linux? Je spreekt jezelf in dezelfde post tegen!

Door Anoniem:
Door Krakatau:
Gelukkig zijn er weinig servers met Windows.
Hangt er maar vanaf hoe je dit zit? Bijna alle servers bij het MKB zijn Windows.

Geen wonder dat het zo slecht gaat met het MKB.

Door Anoniem: En als ik een telling hier maak, hebben we meer Windows servers draaien dan overige systemen.

Gecondoleerd daarmee. Je zal er wel druk mee zijn. Pas je op voor burn-out?

Door Anoniem:
En gebruiken de internetreuzen (Google, Amazon, etc.) Linux voor hun talloze servers.
En wat wil je daar verder mee zeggen?

Het zegt nogal wat dat de echt grote partijen kiezen voor Linux.

Door Anoniem: De meeste webservers draaien ook Linux. En de meeste gehackte webservers draaien ook op Linux.
De meeste datalekken op servers vinden ook plaats op Linux.
Daarnaast als je gaat kijken voor welk besturingssysteem de meeste security updates voor applicaties uitkomen, steekt er ook 1 met kop en schouders boven uit.

Nee, want problemen die worden opgelost voordat ze misbruikt kunnen worden, zijn alleen maar een indicatie van een goed werkend kwaliteitsproces. Alle software bevat fouten maar bij Microsoft slagen ze er maar niet in die te vinden (in Windows, Office, etc.) voordat het problemen worden. Zal wel te maken hebben met de spaghetti opbouw van hun code. Bagger in, bagger uit.
05-01-2018, 14:42 door karma4
Door Krakatau:
Het is maar hoe je het bekijkt. Toch triest dat de grootste datalekken met onkunde en slecht beheer daar gebeuren.
Kennelijk ligt dat aan linux dat men niet in staat om het wel goed te doen. Hiermee zeg ik niets anders dan kap eens met oss flaming en os bashing.

Dus je zet je af tegen OS bashing met een OS bashing van Linux? Je spreekt jezelf in dezelfde post tegen!
.....
[/quote]Vuur bestrijd je met vuur.
Zolang het Flamen en bashen de noem in linux land lijkt te zijn lijkt dat het enige antwoord te zijn. Een neer volwassenen aanpak lijkt niet mogelijk te zijn.
05-01-2018, 18:08 door Ron625
Door karma4:
Vuur bestrijd je met vuur.
Met water heb je meer kans op succes :-)
05-01-2018, 18:17 door karma4
Door Ron625:
Door karma4:
Vuur bestrijd je met vuur.
Met water heb je meer kans op succes :-)
Nope, denk aan Red Adair. Wegnemen zuurstof met grote branders ofwel jet motoren. Water volledig nutteloos.
Natuurbranden wegnemen brandstof. Brandgangen en preventief schoon houden van gebieden. Water in een vuurzee is een druppel op een gloeiende plaat.
In een datacenter nooit met water dan agressief schuim werken. Co2 er in en zuurstofgehalte naar beneden.
Water is voor bij de barbecue.
05-01-2018, 19:00 door Anoniem
Door Krakatau:
Door Anoniem:
Door Krakatau:
Gelukkig zijn er weinig servers met Windows.
Hangt er maar vanaf hoe je dit zit? Bijna alle servers bij het MKB zijn Windows.

Geen wonder dat het zo slecht gaat met het MKB.
Das misschien jouw gevoel? Volgens mij gaat het als een speer met het MKB. Teminste dat is ook mijn ervaring. Groeit alleen maar.
En een OS heeft daar helemaal niets mee te maken, zegt eerder iets over hoe iemand ergens over denkt of wat zijn ervaring heeft.
MKB draait nu eenmaal wel vaak op Windows, met bepaalde redenen. De applicaties zijn meestal alleen beschikbaar voor Windows. Dus draai je Windows op je desktop en servers. Werkt ook allemaal goed samen met weinig problemen.

Door Anoniem: En als ik een telling hier maak, hebben we meer Windows servers draaien dan overige systemen.

Gecondoleerd daarmee. Je zal er wel druk mee zijn. Pas je op voor burn-out?
Ik heb het inderdaad druk... Maar dat is voornamelijk om andere teams op security te wijzen.
Linux/ Unix beheerder voornamelijk. De insteek is daar namelijk, dat patches te veel werk is, dus doen we het maar 1 keer per kwartaal. Goede insteek..... NOT.... Of ze durven het helemaal niet en laten het maar gewoon zitten.
Zelfde issue met de Netwerk beheerders en applicatie beheerders. Updates zijn lastig.
Ik zie dat ze hun werk niet doen en moet de daar continue op adviseren.

Bij Windows doen we er niet moeilijk over. We hebben hier onze zaakjes gewoon in orde. We hebben de nodige ervaring in. In de positieve kant. We weten wat we moeten doen.

Dus burn-out gevaar waar ik last van heb, komt helaas van andere teams af.....

Door Anoniem:
En gebruiken de internetreuzen (Google, Amazon, etc.) Linux voor hun talloze servers.
En wat wil je daar verder mee zeggen?

Het zegt nogal wat dat de echt grote partijen kiezen voor Linux.
Mooi toch? Met goede redenen. Dat zal niemand ontkennen. Je moet een bestuuringsysteem gebruiken wat het beste is voor jouw omgeving. Als dat Linux is, moet je Linux nemen. Als dat Windows is, moet je dat nemen.
Toch niets mis mee?

Zo doe ik het ook in mijn adviezen. Je moet software kiezen wat het beste is voor de oplossing zodat de werkzaamheden het beste uitgevoerd kunnen worden.

Nee, want problemen die worden opgelost voordat ze misbruikt kunnen worden, zijn alleen maar een indicatie van een goed werkend kwaliteitsproces. Alle software bevat fouten maar bij Microsoft slagen ze er maar niet in die te vinden (in Windows, Office, etc.) voordat het problemen worden. Zal wel te maken hebben met de spaghetti opbouw van hun code. Bagger in, bagger uit.
Gemakkelijke gedachte.... Gelukkig zit de wereld anders in elkaar. Code bevat altijd fouten, dat is algemeen bekend. Echter als MIcrosoft ze heeft en fixst is het spaghetti code. Maar als Linux de updates moet verwerken van de leveranciers is het goede kwalteitscontrole.

Maar als je gewoon de patches installeerd, dan is de veiligheid op deze punten ook gewoon goed en exact het zelfde. Het zelfde als op Linux servers. Gewoon je patches installeren. WIndows heeft wel 1 groot extra nadeel.... De meeste infecties komen van werkstations. En daar zitten voornamelijk gebruikers op. Servers zijn daarvoor veel beter af te schermen. Er zijn ook betrekkelijk weinig virussen die direct op servers actief zijn.
06-01-2018, 14:55 door Anoniem
Oh, we gaan weer ver doorschieten.

Onveiligheid is voor het grootste deel te wijten aan verkeerd implementeren, configureren, het niet toepassen van best policies, onvoldoende of verkeerde kennis van zaken, lamlendigheid, verkeerd bezuinigen, dus een heel scala van oorzaken..

Ik zit steeds code door te spitten, let op wat dienaangaande op StackOverflow wordt bediscussieerd. jQuery zwakheden, dom-xss sinks en sources, exploitable server versions en m.n. de combinatie van incompatibiliteit, die kwetsbaarheden geeft. Heel veel zaken zoals daar zijn: wakke ciphers, verkeerde certificering, verlaten code en nog een hele ris.

Als je heilig gelooft in het veredelde knip en plakwerk op je stack, veiligheid een probleem voor anderen is, de cloud een afschuifmiddel wordt, je heilig vertrouwen hebt in wat je verteld wordt door in wie jij vertrouwen moet hebben (onterecht vaak), dan ga je gegarandeerd de bietenbrug op.

Zowel met Ubuntu als met M$ als met CMS als met javascript of PHP of welk os of kapstoktaal ook.

Je bouwt zo niet aan veiligheid en je omgeving is niet of slecht beveiligd.

luntrus
06-01-2018, 18:49 door Anoniem
Oh en even niet vergeten te patchen: https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.12

credits go to Troy Kisky en voor de zwakke dumpability naar Kees Cook.

Iemand, die er wat over mee te delen heeft of het doorgespit heeft?

Jodocus Oyevaer
06-01-2018, 20:55 door Legionnaire
Ik heb de laatste reacties gelezen, of men heeft lopen slapen of heeft eergisteren het grote nieuws gemist.
Dat de grootste chipfabrikant Qualcomm, een enorm lek heeft in de 'communicatie chips' die men fabriceerd en men is erachter gekomen dat alle hardware systemen al 'besmet' zijn en men er niets tegen kan doen.
Deze 'chips' worden door elke hardware fabrikanten gebruikt, onder hun eigen naam of van een andere fabrikant of gewoon Qualcomm.

Hier is niets tegen te doen, alleen een patch downloaden kan het iets veiliger maken, maar lost het probleem niet op.

Zoals ik al maanden terug aangaf en tevens hier ook, dat het niet uitmaakt welke OS je gebruikt, want je systeem is toch al 'besmet'.

Wij volgen ze al meer dan een jaar en wat nu naar buiten wordt gebracht is nog naar het topje van de ijsberg.
Helaas werden onze bevindingen hier voor gek verklaard en nu komt men pas men deze enorme lek naar buiten.
En ze kunnen er niets aan doen, alleen MS al aangeeft, koop geen nieuwe hardware!
Wacht tot er hardware aangeboden wordt, waarop deze 'chipset' niet meer aanwezig is.

Wat ik hier lees, is dat men alleen maar hun eigen OS aan het verdedigen is, terwijl die er niets aan mee te maken hebben.

Het is een combinatie van...de 'hackers' hebben het lek in de chip gevonden en gebruik gemaakt van een zeer oude methode om bij alles en iedereen binnen te kunnen dringen, zonder dat men het in de gaten heeft/had.

En ondanks dat, neemt men deze enorme lek met een korreltje zout...Succes!

Mijn advies; Luister naar MS, koop niets nieuws meer, totdat er nieuwe hardware uitkomt met de nieuwe 'chipset' van Qualcomm...

Stop met je OS en/of sotware te verdedigen, want dat is zinloos...als de fabrikanten al zeggen dat het niet te fixen is, wie zijn wij om daar aan te twijfelen.

Samen staan we sterk en de toekomst zal het uitwijzen...

Legionair...
06-01-2018, 23:37 door Anoniem
Eerst komt men in de fantasie van de film met James Bond genaamd Spectre terecht, dan haalt de werkelijkheid op cloud en hosting providers deze in met weer een zogenaamde vijftien jaar oude "ontwerpfout".
https://meltdownattack.com

Dit terwijl we net bekomen zijn van een twintig jaar oude fout in encryptie en wat voor onthullingen komen er nog meer om te verhullen dat het al lang geleden de bedoeling was elke eindgebruiker onder "total surveillance" te kunnen plaatsen.

Deze nachtmerrie is dus al jarenlang aan de gang en wij maar afvragen waarom de infrastructuur maar niet veiliger werd.
Het was dus vanaf punt 0 niet te bedoeling volgens het bekende gezegde: "Leuker kunnen we het niet maken!".

Nadat met Snowden er al een heleboel duidelijk werd, wat eerst werd afgedaan als "alu hoedjes" verdenkingen en "conspiratie theorie" komt nu toch langzaam steeds meer van het moeras boven water.

Wordt het nu drooggelegd, worden de aligators nu verjaagd of gevangen of wordt het ene theater vervangen door het volgende. Wat de een codeert, decodeert de ander en zo houdt de een de ander zoet.
07-01-2018, 08:00 door Anoniem
Ik verklaar je niet voor gek maar wel paranoid.

Alles heeft foutjes en komen aan het licht .. besmet .... nehhhh , ga al 30 jaar in het wereldje mee en het is altijd zo geweest.
Para’s kunnen nu net als al het ander werlednieuws makkelijker groot ophef maken.

Os maakt inderdaad niet uit. Ze zitten allemaal vol lekken.
Net als alles in de natuur en je eigen lichaam. Zonder die foutjes zou de aardkloot al veel eerder zo vol geraakt zijn.

Maar zie voornamelijk geraaskal en onnodig gelink van shouts.

Gelukkig Nieuwjaaaaaaar
09-01-2018, 20:46 door Anoniem
A.s. donderdag gaat Canonical een 2e poging doen om 17.10 uit te rollen, nog wel zonder fixes voor Meltdown en Spectre.
09-01-2018, 22:41 door -karma4
Door Anoniem: A.s. donderdag gaat Canonical een 2e poging doen om 17.10 uit te rollen, nog wel zonder fixes voor Meltdown en Spectre.

Gebruik toch gewoon Debian. Daar is Ubuntu immers van afgeleid, dus Debian zal altijd meer vooraan lopen.
09-01-2018, 23:57 door Ron625
Door The FOSS:
Gebruik toch gewoon Debian. Daar is Ubuntu immers van afgeleid, dus Debian zal altijd meer vooraan lopen.
Dus niet, er is ook een terug werking van Ubuntu naar Debian, waarbij Canonical vaak het voortouw neemt.
Dit gaat wel gepaard met een kortere test-periode.......

Daarbij wil Debian standaard enkel met OpenSource werken, terwijl voor veel hardware juist een fabrieksdriver nodig is, iets dat bij Debian soms niet mogelijk is.
Voor de eindgebruiker is Ubuntu meer gebruiksvriendelijk dan Debian (vind ik).
10-01-2018, 10:02 door -karma4 - Bijgewerkt: 10-01-2018, 10:03
Door Ron625:
Door The FOSS:
Gebruik toch gewoon Debian. Daar is Ubuntu immers van afgeleid, dus Debian zal altijd meer vooraan lopen.
Dus niet, er is ook een terug werking van Ubuntu naar Debian, waarbij Canonical vaak het voortouw neemt.
Dit gaat wel gepaard met een kortere test-periode.......

In theorie misschien.

Door Ron625: Daarbij wil Debian standaard enkel met OpenSource werken, terwijl voor veel hardware juist een fabrieksdriver nodig is, iets dat bij Debian soms niet mogelijk is.

Nooit last van gehad. Fabrieksdrivers worden toch niet speciaal voor Ubuntu geschreven? Dan zou je ze onder Debian ook aan de praat moeten kunnen krijgen.

Door Ron625: Voor de eindgebruiker is Ubuntu meer gebruiksvriendelijk dan Debian (vind ik).

Daar heb je het al! Je moet mensen die er geen verstand van hebben niet hun eigen computer laten installeren en beheren! Daar komt alleen maar ellende van! Die mensen moeten iemand met kennis van zaken (bijvoorbeeld hun neefje) inschakelen om dat voor hen te doen! En dan vanuit een restricted account hun ding doen.
10-01-2018, 11:58 door Ron625 - Bijgewerkt: 10-01-2018, 11:59
Door The FOSS:
In theorie misschien.
Nee, dat is de praktijk, het is ook een stuk samenwerking.

Door The FOSS:
Nooit last van gehad. Fabrieksdrivers worden toch niet speciaal voor Ubuntu geschreven? Dan zou je ze onder Debian ook aan de praat moeten kunnen krijgen.
Soms is daar meer moeite voor nodig, dan een gebruiker wil, dat is slechts een klein nadeel van Debian, dat m.i. tot de degelijkste distributies hoort.

Door The FOSS:
Daar heb je het al! Je moet mensen die er geen verstand van hebben niet hun eigen computer laten installeren en beheren! Daar komt alleen maar ellende van!
Daarom installeer het voor iedereen die dat wil, binnen mijn gemeente en de buurgemeenten, ze krijgen dan een goed werkend, veilig systeem en een korte uitleg hoe en wat.
Beheer en ondersteuning achteraf geef ik maar op een aantal software configuraties, ik weet ook niet alles :-)
05-02-2018, 19:38 door Anoniem
Door beatnix: Alle ubuntu, ook mint, is privacy technisch lek als een mandje, niet alleen een grote achterdeur ook voor overheden.

Gebruik Gentoo voor meer zekerheid.
Ik zit nog steeds te wachten op bewijzen dat Ubuntu technisch zo lek is als een mandje en een backdoor bevat voor overheden.

Dus kom nu maar op met die links/bewijzen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.