ZDI weigerde om microsoft meer tijd te geven, goed gedaan ZDI, lekken moeten veel sneller worden geholpen en niet over een jaar of 10.

Microsoft... Wat een onvoorstelbare knoeiers zijn het toch!

De juiste spelling is M$

https://www.security.nl/posting/564324/Ransomware+verspreidt+zich+via+lekken+in+JBoss%2C+Weblogic+en+Windows
Jboss is redhat met Linus Torvald (open source) weblogic van Oracle. Een jaar de tijd om iets uit te rollen in stacks en appliances bij afnemers en het gebeurt niet. "Wat een ongelooflijke knoeiers zijn het bij oss redhat en oracle".

Helpt zo'n houding? Niet echt met zelf wat bashen breng je geen verbetering.

Lees je het zdi verhaal dan staat er
- "User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file."
- "An attacker can leverage this vulnerability to execute code under the context of the current process."
Wat doe je tegen gebruikers die zelf van alles mogen installeren en overal op klikken?
Je kan ze het werk onmogelijk proberen te maken. Dat herken ik in de big data bi en analytics wereld dat begint met Excel en doorloopt naar hadoop en spark.
Die houding leverde nog meer problemen op.

1) inhoudelijk: uit je link "Het gaat om beveiligingslekken die vorig jaar al door de softwareleveranciers werden gepatcht." en in dit stukje "waarvoor nog geen update beschikbaar is en waardoor een aanvaller op afstand code kan uitvoeren.". als je een security specialist bent, weet je dat hier in een wereld van verschil zit. je bent dus appels met peren aan het correleren in je post.

dus...

2) helpt zo een reactie van jou dan? wat jij nu doet werkt polariserend en dat oog om oog, tand om tand en vuur met vuur bestrijden hoor je alleen in geloofs kringen steevast terug. kun je daar mee stoppen a.u.b. want het bevorderd de algemene security absoluut niet!

Die zin slaat nergens op. Onzin weerleggen is lovenswaardig, maar als je onzin met onzin weerlegt ben je geen haar beter dan degene die je tegenspreekt.

Je doet op twee manieren zoiets als stellen dat een koe een paard is. Nee, een koe is een zoogdier en een paard is een zoogdier, maar een koe is daarmee geen paard. Dit zijn ze:

1. JBoss en Weblogic zijn verschillende producten. Beide zijn het implementaties van Java EE, en daarmee is JBoss wél een variant van Java EE maar niet van Weblogic.

2. Dat Linus Torvalds voor Linux dezelfde licentie gebruikt als RedHat voor JBoss wil niet zeggen dat je Torvalds met JBoss in verband moet brengen, hij is niet de bron van die licentie (daarvoor moet je bij FSF/Richard Stallman zijn) en hij heeft een hekel aan Java, dat vindt hij een "horrible language".

Ik vind het overigens wel knap om in zo'n korte zin zoveel door elkaar te halen.

Tja. Alle software bevat fouten. Echter, sommige software bevat veel, veel meer fouten en problemen dan andere. Het verschil tussen Microsoft closed source en andere software is schrijnend! Dit zie je aan de onvoorstelbare hoeveelheid berichten op dit forum en op andere plaatsen over problemen met Microsoft software. Je kan dus wel de aandacht proberen af te leiden met zielige off-topic verwijzingen naar vermeende problemen in andermans software. Dat doet niets af aan dat - en dat is on topic - het hier wéér over beveiligingsproblemen met Microsoft Windows gaat!


Ik hoef helemaal niets te verbeteren! Microsoft moet verbeteren maar dat kunnen of willen ze niet. Met respectievelijk technische (vereiste backwards compatibility) of commerciële redenen.

Je leest niet goed Karma4. Oracle had de patches al een jaar klaar. Het is de fout van de leveranciers dat ze deze niet verspreid hebben en dat is niet de schuld van Oracle. Bij Microsoft werden de patches domweg veel te laat aangeboden dus er viel niets te verspreiden.

Ik heb overigens als Linux gebruiker ook niets met Oracle en RedHat based linux. Ik vind het te commercieel klinken als Oracle zich met linux bemoeit. Zelf draai ik Manjaro Linux thuis op de desktop en die zijn heel vlot met geteste updates.

Bij Android is het normaal dat je helemaal geen updates krijgt. Waarom kritiek Microsoft en Google doet helemaal geen pest voor Android gebruikers.

Google brengt Android updates regelmatig en tijdig uit! Elke maand security updates zo te zien: https://source.android.com/security/bulletin/2018-05-01.

Nee, het probleem met updates ligt bij telefoonfabrikanten die hun eigen softwareschillen om basis Android hebben gelegd. Als er een Google Android update komt dan moeten zij die onder hun softwareschil aanbrengen. Dat vinden ze teveel werk en teveel geld kosten. Dus doen ze het liever niet.

Ad 1.. in volledige stacks geoutsourced en al heb het probleem dat techniek en security niet op orde gebracht kunnen worden.
Rso security personen werken enkel vinkenlijstje van architecten af. Architecten negeren de problematiek omdat van hogerhand anders beslist wordt. Werk je voor security dam.moet je dat herkennen.

2/ dat polariserend daar heb je gelijk in. Heb je een andere manier om de geloofsfanaten die telkens terugkomen met "mijn os is heilig dat ander is een probleem".

Kijk even naar de reacties van foss. Je hoeft niet verder dan dit draadje. Zijn desktop thuis krijgt automatisch snel alles binnen.
Dat het met iot en smartphones niet zo is en dat het in de professionele markt met de verwerkjng van massale persoonsgegevens heel anders loopt wordt aan voorbijgegaan.

Daar is het Oracle redhat en anderen waar het en over gelaten wordt. Een onderhoudscontract met bekende leverancier is nauwelijks vermijdbaar.
Redboxes worden voor beheer net zoals blue boxes uitbesteed.Met afhankelijkheden in koppelingen is het snel dat het zeer lang op oude versies draait.

Mensen moeten eens warm gemaakt worden voor goedkope vooaf geïnstalleerde linux desktops en tablets.

Waarom komen ze niet op de markt via recycling van oude M$ machines via Kringloopwinkels (linux evangelisten genoeg toch om dit te doen, neem ik aan - gat in de markt).

Heeft men gelijk de juiste drivers. Dit voor de security bewuste gebruiker en de oplettende huis, tuin en keuken main stream gebruiker.

Dan komt de Windows monocultuur met een beetje concurrentie te zitten, alhoewel het Keulen experiment stemt hier niet tot hoop, daar mislukte het stedelijk linux initiatief jammerlijk.

Stallman en F.R.A.V.I.A. waren meer puristen, anti-smut en anti-ad strijders. F.R.A.V.I.A, resource hacker, tinkerer en searchlore guru,. is ons al lang en veel te vroeg ontvallen (R.I.P.), maar zijn geest leeft voort online en via zijn adepten, zoals

luntrus

Nu dat ze het vrij hebben gegeven : hoe kan ik mijzelf hier nu tegen beschermen ?
bedankt

Ik gebruik geen Windows op mijn desktop dus ik heb inderdaad geen problemen met het snel, automatisch en goed binnenkrijgen van security updates. Duh...


Echt professionele bedrijven gebruiken geen Microsoft Windows in de 'verwerking van massale persoonsgegevens'. Daarmee is in een klap het grootste deel van het probleem m.b.t. beveiliging opgelost. Wat jij moet doen, karma4, is op cursus gaan bij dergelijke bedrijven. Bij Google of Amazon stel ik voor.

Maar karma4, je bent weer enigszins afgedwaald. Wat vind je eigenlijk van het topic? Dat is: Ongepatcht Windows-lek onthuld nadat Microsoft deadline mist. Ik vind het de zoveelste blamage voor Microsoft. En ik raad eenieder die nog Windows gebruikt aan om zo spoedig mogelijk serieus te gaan kijken naar alternatieven. Zoals Linux.

Het topic is provocerend zoals jij het oppakt, om de volgende redenen. (Volg de link zdi)
- ze noemen een user interactie die nodig is.
- het programma wat de user activeert draait onder zijn rechten.
Zoiets is niets bijzonders, zal je vaker tegenkomen een basis fout zoals html bedacht is. Tim Berner Lee heeft zich er al voor verontschuldigd.
Met je persistente Windows haat en oogkleppen voor alle linuxproblematiek iot, .smartphones, big data, cloud ga je daar niets oplossen integendeel. Je geeft een indruk dat alles met linux vanzelfsprekend veilig is. Dat is onzin admin:admin p@ssword is het niveau waar linux nog fout gaat met gebrek aan containerisarie.

De grootste en ernstigste darlekken zij linux gerelateerd.
Mongo-db, aws s3 buckets dankzij amazon terwijl google een grote commercieel tevens de grootste bedreiging voor privacy is. Gafa. https://en.m.wikipedia.org/wiki/Big_Four_tech_companies de term is niet door mij verzonnen.

Microsoft en ik niet via boardrooms tegengekomen ibm wel.
Je moet het ibm os/2 debacle eens loslaten als dat het is wat je dwars zit.

Hou toch op met het refereren aan professionals en grote denkers die je overduidelijk totaal niet begrijpt!


De waarheid doet pijn nietwaar? Ik ben niet degene die Windows keer op keer voor het voetlicht brengt. Dat doet Windows zelf, door steeds in het nieuws te komen met beveiligingsproblemen. En nogmaals: Microsoft moet haar problemen (zelf) oplossen, in plaats van het probleem af te schuiven naar de gebruiker. Als gebruiker zit je - totdat Microsoft een patch uitbrengt voor het (0Day) Microsoft Windows JScript Error Object Use-After-Free Remote Code Execution Vulnerability beveiligingsprobleem - met een onveilig systeem! Dank je wel Microsoft!


Tegen idioten is geen kruid gewassen.


Onzin! Niet beveiligde Mongo databases en AWS S3 buckets geven alleen maar de onkunde van de beheerder weer die vergeet om er een beveiliging op te zetten. Dat is heel iets anders dan een softwarefabrikant die keer op keer niet in staat blijkt om tijdig beveiligingsupdates aan te brengen in een steeds gammeler en onveiliger wordend product. Zegt de term spaghetticode je iets? Op een gegeven moment is Windows zo'n ratjetoe van erin geplakte functionaliteit en beveiligingspatches geworden dat elke probleemoplossing in de code op een andere plek in de code iets doet omvallen.


Wat jij in je zielige kleine wereldje tegenkomt is niet representatief voor de grotere werkelijke wereld! Serieus, laat je eens voorlichten bij bv. Google of Amazon. Grootgebruikers van Linux en een meer dan excellentie reputatie op het gebied van beveiliging, up-time, robuustheid, etc.

Wat jij het zielige wereldje noemt zijn de top grootste bedrijven en organisaties. Elk bedrijf worstelt met het goed krijgen van de business intelligence big data en Analytics.
Dan vind jij het nodig om de persoonlijke aanval te kiezen met een achtergrond die je noemt is jouw eigen thuis machientje.

Met iot smartphones en al die dat lekken is de waarheid dat er linux achter zit. Dat doet bij jou kennelijk echt pijn. Kap er eens mee en ga die boel nu eens echt verbeteren. Met dat wijzen naar anderen gebeurt dat echt niet. Je bent kennelijk echt helemaal verblind dat de realiteit van de dagelijkse werkelijkheid mist.

Misschien is er een redenen waarom er geen markt voor is? Vaak doet de meeste software het er niet op....

Blijkbaar is het gat niet zo groot als jij denkt dat het is.

Dat hoop je... Want als dat niet het geval is... Is het soms best lastig voor gewone gebruikers. Voor ons techneuten meestal niet. Maar een gemiddelde gebruiker zit er helemaal niet op te wachten op opensource drivers, of proparitie drivers.


Dat is een aanname dat je doet. Je hebt er namelijk geen idee van of werkelijk alle security updates binnen komen. Het enige wat je zeker weet, is dat gemelde security updates, die opgelost zijn, geïnstalleerd worden. Dat wil echter niet zeggen, dat er geen bekende "Gaten" meer inzitten. Voor overheden is het eigenlijk ideaal... Immer de sources zijn openbaar zonder enge moeite te analyseren....

Interestante stellen, Ik ben erg benieuwd hoe jij deze stelling ziet, icm met alle grote datalekken van de afgelopen jaren. Die waren namelijk vanaf Windows systemen. Linkedin, Equifax, Yahoo, Adult Finder, en ik kan er nog wel een paar noemen.
https://www.csoonline.com/article/2130877/data-breach/the-biggest-data-breaches-of-the-21st-century.html. En laatst nog Ticketfly . Volgens mij allemaal professionele bedrijven, met mega datalekken. Ik denk dat als dit zou vergelijken met jouw statement van Microsoft gebruiken, eigenlijk nergens meer op slaat, of eigenlijk in het niets valt met de datalekken op Linux omgevingen.

Je hele statement klopt dus totaal niet, en zegt eigenlijk iets over je eigen denk richting, iets met oogkleppen denken.

Het is zeker niet goed te praten... Maar langs ze zijlijn is altijd gemakkelijk praten. We weten de exacte redenen niet. Had MS hier actiever moeten zijn, waarschijnlijk wel. Maar dat is achteraf altijd gemakkelijk praten en iets waar wij alleen maar over kunnen gissen.
Maar de statistieken laten eigenlijk zien, dat statisch gezien, de grootste datalekken van Linux systemen afkomstig zijn, dus zou het misschien wel eens beter zijn dat juist serieus naar een ander OS te kijken? Maar laten we ook niet vergeten.

En Linux heeft 1 groot nadeel... Het aandeel voor de desktop is betrekkelijk klein, eigenlijk verwaarloosbaar, er is betrekkelijk weinig software voor, welke nodig is om juist mee te werken. Dus of het nu een goed advies is... Dat is maar de vraag. Misschien voor sommige wel, maar voor de meeste niet.

" Maar de statistieken laten eigenlijk zien, dat statisch gezien, de grootste datalekken van Linux systemen afkomstig zijn, "

ik ben zeer benieuwd naar die statistieken van je.

ter argumentatie:

https://tweakers.net/nieuws/139251/veel-mkb-websites-zijn-kwetsbaar-voor-toegang-tot-database-met-klantgegevens.html

het mkb in nederland staat er om bekend vooral MS te gebruiken.

Is het mischien niet zo dat je met een vertekend beeld in je statistieken zit omdat als iets open en transparant is, alles meteen ook zichtbaar is? en dat het bij veel kleine gesloten clubjes (a la mkb) de vuilewas niet bekend gemaakt wordt?

Jij hebt het over het vakgebied zelf. Ik heb het over jouw rol daarin. In dat zielige speeltuintje van je, waar je allerlei probleempjes denkt tegen te komen.


Jij weet niets over mijn achtergrond. Ik wel over de jouwe. Want jouw domheid sijpelt door je woorden en is in tegenspraak met de grootsheid je je jezelf toedicht.


Jouw uitspraak 'iot smartphones en al die dat lekken is de waarheid dat er linux achter zit' is al talloze malen ontkracht. Bij IoT ligt de oorzaak van de problemen met beveiliging bij nalatige fabrikanten; bij smartphones bij fabrikanten die hun softwareschillen om basis-Android niet met de Google updates mee kunnen updaten; bij 'al die dat lekken'? Tja, dat is gewoon jouw gebruikelijke wartaal nietwaar.

Alleen als je een gamer of flauwe speelgoedsoftware gebruiker bent. Zie onderaan deze post.


Microsoft chanteert de original equipment manufacturers. En meer van dat aan criminaliteit grenzende gedrag om hun marktpositie te behouden. Hun software (met name Windows) is ondertussen echter dusdanige bagger geworden dat dit geen stand meer kan houden. Getuige de zero day vulnerability ((0Day) Microsoft Windows JScript Error Object Use-After-Free Remote Code Execution Vulnerability) van deze post. Microsoft kan het gewoon niet meer bijbenen.


De gemiddelijke gebruiker weet helemaal niet waar je het over hebt als je open source of proprietary software hebt. Jij blijkbaar ook niet ('proparitie').


Maak je geen zorgen, er zijn echte professionals aan het werk om Linux veilig te houden. En blijkbaar met succes! Daarom kiezen grote professionele partijen als Google en Amazon natuurlijk voor Linux.

Omdat je de sources kan analyseren worden eventuele kwetsbaarheden er al snel uitgehaald. Dat geldt niet voor closed source software. Daar ben je overgeleverd aan de nukken van de leverancier. Dat dit al snel misgaat wordt weer eens aangetoond door de zero day kwetsbaarheid van dit topic.


Het hele verhaal heeft niets met Linux te maken anders dan dat grote professionele partijen het gebruiken voor grootschalige verwerking van data. Geen van die datalekken hierboven vond nl. zijn oorzaak in een Linux kwetsbaarheid. Dat geldt niet voor Microsoft Windows. Daar kan je hele ritsen voorbeelden bijhalen waar Windows kwetsbaarheden aan de problemen ten grondslag lagen.


Dat heeft niets met Linux te maken anders dan dat de meeste professionele dataverwerking met Linux systemen gebeurt. Als je een beheerder hebt die vergeet om een wachtwoord op een database of een AWS S3 bucket in te stellen dan heb je een datalek. Dat heeft echter niets met het onderliggende platform te maken. Wel met de domheid van de beheerder.


Bij o.a. Google en CERN is het de standaard desktop. Hoe zouden die mensen hun werk toch kunnen doen? Met al dat 'gebrek' aan software? Realiteit is dat - uitgezonderd mogelijk de games en flauwe speelgoedprogrammaatjes - er een Linux alternatief voor zo ongeveer alle Windows applicaties beschikbaar is.

Je URL geeft het eigenlijk al aan.... websites... En waar draaien de meeste websites op? Linux..... Het MKB heeft meestal geen IIS websites draaien. (uitzondering daar gelaten natuurlijk).
De kantoor automatisering draait wel bijna altijd op Windows. Maar daar komen niet de grootste lekken vandaan. Alle echt grote lekken komen allemaal van Linux servers af.

Is het direct Linux dat de veroorzaker is Nee. Maar alles valt of staat met de implementatie en beheer van de infrastructuur.

https://www.csoonline.com/article/2130877/data-breach/the-biggest-data-breaches-of-the-21st-century.htmlDeze link laat ook zien, wat de grootste data lekken zijn geweest. En die komen niet vanaf Windows systemen.

Klopt. Hoeveel websites zijn er wel niet gehacked van MKB klanten, zonder dat ze het zelf weten. Maar ook veel kantoren zullen hier last van hebben en zal er niets gemeld wordt.

Maar de echt grote datalekken, die zijn momenteel niet afkomstig van Windows systemen, want al die grote bedrijven draaien op de gebruikte webservers niet op Windows. En om deze getallen te evenaarden, moet je heel wat MKB klanten hebben met dit soort data.

Tja... Je opmerking zegt eigenlijk al weer genoeg.
En Tja... Daarom is het desktop percentage XP machines nog steeds hoger als het aantal Linux Desktops.
En er zijn toch echt maar heel weinig grote Enterprise bedrijven die Linux draaien op de desktop. Maar ze zijn er natuurlijk wel.

Of MS het kan bij benen. Tja dat is uit het artikel helemaal niet te halen. Er staat iets beschreven, maar de werkelijke oorzaak niet.Of dat nu ligt dat Microsoft het niet meer kan bijbenen, dat kan ik er niet uithalen. Maar blijkbaar heb jij hele andere bronnen, of gebruik je nu je fingerspitzengefühl zonder enige achtergrond informatie?

Sorry voor mijn type fout..... En de gemiddelde gebruiker wil er ook helemaal niets mee te maken hebben. Maar wel een noodzakelijk iets als je met Linux aan de slag wilt gaan.

Dat klopt. Zware ICT bedrijven, niet helemaal een standaard bedrijf....

Ze kunnen er snel uitgehaald worden. Dat wil niet zeggen dat ze ook gemeld worden. Dat is wel iets anders.

Helemaal correct.

Windows of Office of Internet explorer? Of gewoon de gebruiker, of slecht onderhoud van je applicaties, waardoor je niet kan updaten......


Dat heeft niets met Linux te maken anders dan dat de meeste professionele dataverwerking met Linux systemen gebeurt. Als je een beheerder hebt die vergeet om een wachtwoord op een database of een AWS S3 bucket in te stellen dan heb je een datalek. Dat heeft echter niets met het onderliggende platform te maken. Wel met de domheid van de beheerder.[/quote]Het is maar hoe je er naar kijkt. Bijna alles valt en staat met de beheerders van je infrastructuur.
Wat natuurlijk wel van groot belang is, welke applicaties je nodig hebt.
Ik ben hier de laatste linux machines gelukkig aan het migereren, naar Windows dozen. Waarom... De applicaties bestaan niet meer voor Linux, en het Windows alternatief voldoet niet. De applicatie heeft wel 15 jaar gedraaid. Updates van Linux worden al jaren niet meer geïnstalleerd. We draaien ondertussen al een aantal jaren met een Windows applicatie die veel meer kan dan, maar waar geen Linux alternatief is. En het scheelt ook nog eens een 2de desktop. Want op de Linux desktop kunnen ze alle overige applicaties niet draaien. Dus Linux is gewoon voor dit bedrijf geen mogelijkheid meer.
En zo is het vaak het geval. Linux heeft gewoon te weinig beschikbare applicaties.

Zware ICT bedrijven, kan je niet vergelijken met een standaard Enterprise / MKB klant. Je hebt dan in eens een heel ander speelveld, maar blijkbaar past dat niet helemaal in je gedachten. De meeste applicaties die men in het gewone bedrijfsleven nodig heeft, die bestaan meestal niet op een Linux platform. En als ze bestaan, moet je vaak alles zelf aan elkaar knopen, en dat kan natuurlijk. Maar de meeste bedrijven zitten daar helemaal niet op te wachten. Je moet een platform gebruiken waar het goed voor is, maar een grote afhankelijkheid is gewoon de beschikbaarheid van de applicaties die je in je bedrijf nodig hebt. Daar kies je een platform voor/op.

Dat wil niet zeggen, dat het bij bedrijven niet mogelijk is. Er zijn meerdere bedrijven waar het draait. Bij sommige heel goed, zoals je zelf ook aangeeft, en sommige kiezen er voor om weer terug te gaan, omdat het gewoon niet werkend te krijgen is.

Mijn opmerking zegt eigenlijk al genoeg? Je bevestigt dat de meeste gebruikers van Windows spelletjes spelen en van die kerstgroet programmaatjes uitvoeren? Oké, dat is duidelijk.


Dat heet zelf nadenken! Je eigen hersens gebruiken. Dan hoef je niet steeds de dingen voorgekauwd te krijgen. In dit voorbeeld kan je zelf concluderen uit (a) bekendheid met de knullige architectuur van Microsoft Windows en (b) de ondertussen talloze voorbeelden waarin Microsoft niet in staat is om tijdig een patch op te leveren, of patches uitbrengt die een bepaald probleem oplossen een ander probleem introduceren, dat Microsoft het niet meer kan bijbenen. En nee, dat staat inderdaad niet in het gelinkte artikel. Dat gaat namelijk alleen over de meest recente Windows zero-day.


Het is niet alleen een typefout. Dat blijkt uit je consequente taalfouten. Je schrijft woorden niet aan elkaar waar dat wel zou moeten. Zoals 'bij benen', 'type fout', 'al weer', 'binnen komen', 'denk richting', 'in eens'. En je gebruikt uitdrukkingen verkeerd. Zoals 'Dat is een aanname dat je doet', 'iets met oogkleppen denken', 'om deze getallen te evenaarden', 'langs ze zijlijn is altijd gemakkelijk praten', 'alleen maar over kunnen gissen'. Het ontbreken van de 'n' op het eind van meervouden die personen betreffen ('sommige'). En dan dat gebruik van 'welke' waar eigenlijk 'die' of 'dat' zou moeten staan. Je lijkt karma4 wel.


Dus kleine bedrijven moeten maar aanknoeien met Windows en zich aan de datagraai en malware goden overleveren? Nou, bedankt...


Heb je voorbeelden van situaties waarin 'niet gemelde' open source kwetsbaarheden tot problemen hebben geleid?


Je bevestigt dat closed source software resulteert in een vendor lock-in en dat dit in het geval van Microsoft met Windows tot grote problemen heeft geleid. Dank je.


Petya, NotPetya alweer vergeten? Verdere voorbeelden in een schier eindeloze lijst: https://www.google.nl/search?q=Windows+bug+actively+being+exploited


Zelf nadenken! Dat is niet hetzelfde als 'gissen'.


Nogmaals: die datalekken zijn niet als gevolg van kwetsbaarheden in Linux. Tegen domheid van beheerders is geen kruid gewassen en met een ander besturingssysteem dan Linux maak je dat alleen maar erger. Want dan komt bovenop die domheid het probleem van een besturingssysteem dat niet robuust is, slecht update, steeds gereboot moet worden, data graait, een malware fuik is.


Nogmaals: CERN, Google gebruiken Linux als standaard desktop. Wat hebben die MKB'ers nodig dat deze grote bedrijven niet nodig hebben? Ik kan me er niets bij voorstellen eerlijk gezegd.


En dat is het excuus om kleinere bedrijven maar aan de datagraai en malware goden over te leveren? Nou, bedankt.


Dat gewoon niet werkend krijgen heeft mijns inziens meer te maken met beperkingen bij degenen die het werkend proberen te krijgen.

"Je URL geeft het eigenlijk al aan.... websites... En waar draaien de meeste websites op? Linux..... Het MKB heeft meestal geen IIS websites draaien."

ik wil dat toch wel eens in 'getallen' zien. als ik de web pages opvraag van een aantal slagers uit mijn buurt heb ik zo op het oog met 3 van de 4 keer met een IIS server te maken.

voor alle lezertjes hierboven met onderbuik gevoelens:

https://blog.trendmicro.com/linux-is-secureright/

"It is very important to not confuse vulnerabilities with threats. While there may be fewer known threats for Linux, if you look at the National Vulnerability Database, there are a similar number of vulnerabilities reported for both Linux, and Windows operating systems.

Malware, designed for Linux

Contrary to popular belief, there is a lot of malware for the Linux platform. While the numbers in comparison to Microsoft Windows are not quite as high, there are still tens of thousands of pieces of malware designed for Linux, including the Erebus ransomware mentioned above."

en

"The lesson we learn here is that although Linux is a more secure and reliable operating system option, it’s not your cure-all solution when it comes to security. Like any other OS, some assembly and maintenance is required, and it’s your responsibility to adopt a multi-layered security strategy, including managing regular updates and adding additional security controls to protect the servers AND the applications running on them. To learn more about Linux vulnerabilities and how to protect against them using Trend Micro Deep Security, read our short research paper here."

alles is relatief dus.

maar wel afsluitend wil ik melden dat deze draad nu net gaat over een MS windows update die er *NIET* is :).

De vraag of die ms update nodig is of niet is de eerste vraag om te beantwoorden. Gezien de beschrijving is dat twijfelachtig.

Je opmerking dat alles relatief is met de bedreigingen en impact is de kern voor security.
Als je van alles open en boot aan Internet of intranet hangt met een beveiliging van admin:admin dan heb je geen beveiliging.
Die houding komt te vaak voor met het wijzen naar "wij gebruiken linux". Daarmee is het multi layered en eigen verantwoordelijkheid geblokkeerd.

Zie iot waar het de spuigaten uit loopt en men enkel met wetgeving nog het probleem kan proberen aan te pakken.
https://www.security.nl/posting/564491/Agentschap+Telecom+wil+minimumeisen+voor+Internet+of+Things

Je kunt blijven schreeuwen dat het aan de beheerder ligt.
Het probleem is dat veel met linux niet eens meer te beheren is. Je krijgt een iot ding en er valt op os niveau niets te beheren .
Je hebt een Smartphone en je bent afhankelijk van provider en fabrikant. Dat gaat door met appliances en diensten.
Beheer updaten en zorgen dat het aan vereiste richtlijnen voldoet is weggestopt met de argumentatie ....
Dan ligt het of aan het os en je moet linux bashen of je moet het os loslaten voor het echt invullen van informatieveiligheid.

Ik dacht dat IoT stond voor 'Idiot Owns Things' :) en dat de S in IoT voor security stond?

maar los van die grap, karma, sla niet door, de subject is een 0-day in windows waar geen patch/update voor is en dat is zwaar klote en we weten allemaal uit ervaring dat de meeste linux distros updates beter voor elkaar hebben dan MS het afgelopen jaar en dat de ellende van IoT niet toe te schrijven is aan Linus oid, maar aan al die chineze meuk rommel die hollandertjes lekker goedkoop boeie aansluiten.

Mensen laat je toch niet afleiden door een windows BI troll. Het gaat over "Ongepatcht Windows-lek onthuld nadat Microsoft deadline mist" Dat gebeurd te vaak en is een reden om afscheid van windows te nemen. Laat je niet wegzetten met applicaties. De wereld is veranderd er zijn tegenwoordig genoeg applicaties die alleen onder LInux draaien (bv Ansible control system) en niet onder Windows om nog niet te spreken over python bibliotheken.
Windows Subsystem for Linux (bash shell) is ook een drama om te gebruiken.

Ik heb het verhaal van zdi gelezen daarom moet je niet doorslaan.
Gebruikersacrtie vereist om foute programma's te installeren.
Die idioten van gebruikers beheerders toch... Programma dat door de gebruiker gestart wordt blijft in user context.

Het is de beschrijving hoe gebruikers met apps omgaan.
Welke update is er tegen domheid van gebruikers (pishing)?

Een overzicht van alles wat ze gevonden hebben (waar of niet voor later) . Loop het eens door. https://www.zerodayinitiative.com/advisories/published/
https://www.thezdi.com/blog/2018/5/8/the-may-2018-security-update-review
Let even op de toelichting bij de laatste Azure iot.

Als het os niet in staat is dat te doen of op te leggen dan is het een os probleem? Wat een duidelijk verschil is dat een Microsoft behoorlijk aan de weg getimmerd heeft om een veilige infrastructuur te krijgen ondanks het verzet van afnemers. Bij linux wordt het geheel aan fabrikant beheerder over gelaten zoals met iot. Vandaar dat de s in linux voor security staat.

Overigens interesseerde me het os verhaal Windows linux matig. Wat mij ergerd en waar ik last van heb is de slechte informatieveiligheid juist met linux omdat het os als de oplossing van data veiligheid afgedaan wordt.
Dat is iets boven op de "applicaties" wat gewoonlijk faalt door de linux nerd houding. Bi analytics big data heeft op dat vkak echt een probleem.

MS heeft verzaakt en is waardeloos in zijn update policies en heel veel mensen vinden dat en dat heeft niets met andere fabrikanten of OSen te maken. dus sudder jij maar lekker gaar in je dogma. ik ga verder met mijn leven.

Goed... Sussende en afleidende commentaren van bepaalde Microsoft adepten laten ons weer eens afdwalen van het topic, nl. de WINDOWS ZERO-DAY DIE MICROSOFT NIET WIL/KAN PATCHEN. Daarom de originele post hieronder herhaald.


[1] https://www.zerodayinitiative.com/advisories/ZDI-18-534/
[2] https://twitter.com/thezdi/status/1001502588951580672

Als jij de meeste meeste windows gebruikers zo wilt noemen, dan zegt dit genoeg over jouw inlevingsvermogen over hoe normale gebruikers en of bedrijven werken.

Zelf nadenken is inderdaad heel belangrijk. Maar graag wel moet juiste feiten en voldoende achtergrond informatie. Anders trek je conclusies die ook wel eens fout kunnen zijn. En met de huidige informatie is dat erg lastig.

Sorry dat ik niet universitair ben opgeleid ben in Nederlandse taal. Taal is niet mijn sterkste kant, daar zal kom ik gewoon voor uit en maak ik geen geheim van.
Ik ben meer een persoon van de techniek, daar ben ik goed in.


Is ook helemaal niet nodig, gewoon goed inrichten, zoals je bij ieder OS moet doen. En bedrijven willen ook graag werken en niet met een vage idealisme bezig te zijn.

Kan jij het tegendeel bewijzen? Op beide vragen is het antwoord eigenlijk altijd nee. Maar als je zelf nadenkt (iets wat je zelf opperde), dan is dit natuurlijk goed mogelijk.

Verdor lock-in is weer een andere discussie. Maar om zomaar iets zelf aan te pasen is ook weer niet echt verstandig. Maar de opensource community is over het algemeen erg snel met het fixen van gemelde problemen. Dat wil echter weer niet zeggen, dat de issues ook snel van het Internet verdwenen zijn. Adoptie en updates van security patches is weer een hele andere discussie.

Gewoon fout beleid vanuit de Managers. Patches waren al lang uit, alleen niet geïmplementeerd, men was overruled. Kan je dat Microsoft aanrekenen?

Feiten vs fictie/gissen. Ik probeer mijn issues altijd iets beter te analyseren voordat ik een uitspraak doe over een probleem. Maar beste stuurlui staan altijd aan wal. We kunnen het zelf altijd beter, zonder eigenlijk alle informatie te hebben. Immers dat zou ons zelf nooit overkomen. Wij doen het altijd perfect. Goed nadenken is soms ook best lastig.

Waarschijnlijk omdat hun applicaties draaien op Linux? Als ik rond kijk naar wat mijn gebruikers nodig hebben, zowel in Enterprise als MKG als ZZPer aan applicaties, van MS Office (of plugin integratie), GIS, CRM, Machine aansturing, motoren informatie, Telefoon aansturing, printer aansturing, Project Management, Mail clients, Messaging applicaties, machine design applicaties, dan zijn er toch maar heel weinig ondersteunde Linux applicaties welke aan de requirements voldoen. Zeker icm met gevraagde integratie. Zouden ze wel voldoen, dan Linux desktop zeker een alternatief zijn. Of het verstandig is, is een tweede, als je infra structuur er niet voor geschikt it. Maar als snel kom je tot de conclusie dat het geen realistisch alternatief is voor veel bedrijven. Als jij dat niet kan voorstellen, dan heb jij eigenlijk geen idee hoe de meeste bedrijven ICT doen of wat ze nodig hebben.

Maar kan Lunux als desktop gebruikt worden, zeker. Als je applicatie landschap het ondersteund, is dat zeker een mogelijkheid.

Als je niet weet hoe je een goede Windows desktop moet inrichten, dat kan dat inderdaad je conclusie zijn. Maar als je nadenkt (hee, daar is dat magische woordje weer), dan kan je dit ook gewoon allemaal goed inrichten. Heb je nog steeds wel de last van het ICT beleid waar vaak het probleem in zit.

Beste stuurlui.... Die weten het altijd beter.

Microsoft bashen is wel heel erg jaren 90.

"van MS Office (of plugin integratie), GIS, CRM, Machine aansturing, motoren informatie, Telefoon aansturing, printer aansturing, Project Management, Mail clients, Messaging applicaties, machine design applicaties, dan zijn er toch maar heel weinig ondersteunde Linux applicaties welke aan de requirements voldoen."


misschien kijk je niet goed genoeg dan?

https://www.digitaltrends.com/computing/best-microsoft-office-alternatives/
https://www.linuxlinks.com/crm/
https://www.linux.com/learn/linux-101-printing
https://itsfoss.com/best-email-clients-linux/
https://www.slant.co/topics/2085/~instant-messaging-clients-for-linux
https://www.linuxlinks.com/projectmanagement/

enzv. enzv. enzv.

@tha cleaner

vwb petya,

MS had SMBv1 standaard bij instalatie uit kunnen zetten en er een opt-in van maken.

wat ik bedoel te melden is dat f-up op meerderen lagen een f-up is geweest en had een van de lagen in de keten zijn werk goed gedaan, dan was het geen issue.

wat dat betreft is de mens altijd weer in staat de bocht af te snijden en dan het beschuldigende vingertje naar een ander te doen. zowel die managers waar je het over hebt, alswel MS. dta is ook de basis van de IoT ellende die we nu ervaren. de worst trekt meer dan de stok er achter angst boezemd ne de pijn komt vaak elders dan de pleasure terrecht.

Héé, er sijpelt toch wat zelfkennis door :-)