hackon! helemaal gehackered man!

Was je net lekker bezig, verval je in het betekenisloze gebrabbel.

Een typisch voorbeeld hoe open source met slecht beheer de oorzaak is van de massale datalek. Je kunt op zoek naar de argumenten van de beslissers dat ze niets hoefden te doen omdat de veiligheid wel door de oss gemeenschap gratis en voor niets opgelost zou worden.

Hoe zit dit precies?

...........omdat het een beveiligingsupdate voor Apache Struts niet had geïnstalleerd.
Daardoor konden aanvallers toegang tot een server krijgen.................

was de toegang tot de server voordat de beveiligingsupdate er was dan dus wel voldoende beveiligd?

Het geknoei hier heeft denk ik niet veel te maken met open source of niet. Het doet me meer denken aan een bank die meent aan één goedgekeurd slot in de voordeur genoeg te hebben. En dan 1,35 miljard achter die deur legt. Want we hebben een gekeurd slot in deur.

Als je zulke risico's loopt, dan zou en bank van binnen wat meer maatregelen nemen. En vooral die 1,35 miljard wat veiliger wegstoppen.

Wat in deze tijd kun je toch snappen dat het vooral bij IT'ers die het hardst beweren dat zoiets bij hun nooit had kunnen gebeuren, de eersten zijn waarbij het juist wel gebeurt. Om 1,35 miljard aan schade toe te vertrouwen aan wat nerds met een diploma, dàt is lekker slim.

Meer een typisch voorbeeld van karma4-wensdenken. Had je gezegd
``Een voorbeeld van hoe slecht beheer de oorzaak is van een massaal datalek.''
dan had ik het met je eens kunnen zijn. Het is niet de "open source" waar het "slechte beheer" vandaan komt.

Dit is gepatenteerde onzin, zowel het argument als de insinuatie dat iemand met enige voeling met het veld dat argument zou maken.

Sterker, met closed source zou je een sterker argument gehad hebben, aangezien dan de fabrikant de enige is die de source heeft en daarmee dus de enige die (officieel) de macht heeft het probleem op te lossen. Doen ze het niet, zijn ze nalatig. Maar zelfs dan heb je meestal eigen poppetjes nodig om de beschikbare updates te installeren. Zijn ze wel beschikbaar en doe je dat niet, ben je zelf nalatig. Dus met noch open source noch closed source klopt je argument.

Je kan beter spijkers op laag water gaan zoeken. https://onzetaal.nl/taaladvies/spijkers-op-laag-water-zoeken/

Hee, waarbij heb ik dat eerste meer gehoord?
Staat me bij iets met vuur of zo, en wat wel zijn haren verliest maar niet zijn streken.

Als je wat jij onzin noemt te vaak in praktijk meegemaakt hebt wordt je heel gevoelig voor de signalen die er meer gepaard gaan, Een van die signalen is de OS flaming met de uitspraken dat OSS veilig is omdat iedereen de code kan zien.
Niet bijwerken van software en laten verlopen van certificaten zijn de andere signalen. Beheer hoeft niet.
Je weet dat E.Dijkstra heel wantrouwend was. Je moest het bewijs van correctheid leveren niet geloven.

Afgezien van diejuridische kosten waren dat kosten die ze toch al gemaakt zouden moeten hebben: onderzoek naar gaten in je eigen beveiliging en investeer in betere software. En in betere beheerders, dat krijg je ervan als je je beheer outsourced naar India en daar als nitwit manager nog trots op bent ook: https://www.youtube.com/watch?v=3CfWDYU2LaM .

Dan zijn het de beslissers die een grove blunder hebben gemaakt. Een belofte dat de OSS-gemeenschap de veiligheid wel gratis en voor niets zal oplossen en dat zo magisch perfect doet dat je zelfs de patches die ze produceren niet hoeft te installeren (want dat is wat hier is nagelaten) wordt echt niet gedaan door degenen die serieuze software als besturingssystemen, databasesystemen en applicatieframeworks maken.

Je geeft als oorzaak "open source met slecht beheer". Als dit is wat je bedoelde te schrijven en niet een van je veelvuldige schrijffouten is dan zeg je daarmee dat het specifiek de combinatie van slecht beheer en open source is die dit veroorzaakt heeft. Dat betekent:
• open source met goed beheer had geen massaal datalek opgeleverd, en
• closed source met slecht beheer had geen massaal datalek opgeleverd.

Dat laatste bevat precies de redenatie die je bij die beslissers veronderstelt: de aanname dat er niets gedaan hoeft te worden omdat het vanzelf wel goed gaat, alleen nu bij closed source in plaats van open source. Ik zou jou op grond daarvan liever niet als beslisser of als adviseur willen meemaken.

Als "met" een schrijffout was en niet wat je bedoelde dan zou ik je nog niet als beslisser of als adviseur willen meemaken, omdat mensen zullen reageren op wat je zegt en schrijft en niet op iets heel anders dat je er misschien eigenlijk mee bedoelt. Je hebt niets aan een beslisser of adviseur die andere opdrachten of adviezen geeft dan hij bedoelt te geven.

Afgaande op hoe je in het verleden hebt gereageerd als je op logische fouten in je denken wordt gewezen en op taalfouten verwacht ik dat je zowel zal ontkennen dat er een schrijffout is en dat wat er staat betekent wat het betekent. Ik verwacht dat je zal claimen dat je volkomen logisch denkt terwijl je even fundamentele als basale logicaregels negeert.

Als dat is hoe je je werk doet dan kan het moeilijk anders dan dat je daar een hoop problemen veroorzaakt maar altijd zal denken dat het aan anderen ligt. En dat zou dan wel eens precies de reden kunnen zijn dat je overal incompetente Linux-evangelisten meent te zien.

Dat wil niet zeggen dat je begrepen hebt wat je meegemaakt hebt, of dat je dan dus niet zit te projecteren.

Als je doelt op ``given enough eyeballs, all bugs are shallow'', dat is niet eens de claim die gemaakt wordt.

Ik persoonlijk ben erg blij met open source omdat als er iets is, en er gaat niet direct een oplossing komen of een bestaande oplossing beschikbaar zijn, dan kan ik mijn probleem desnoods zelf oplossen. En dat kan ik want ik kan prima source patchen, releases bouwen, code schrijven, noem-maar-op. Terwijl ik meer systeembeheerder dan ontwikkelaar ben. Voor mij levert open source dus meer vrijheid op om mijn eigen systemen up-to-date te houden.

Nog steeds heeft dat hele verhaal niets specifieks met "open source" te maken, een claim die jij wel expliciet maakte.

Als je over dit geval zegt "slecht beheer", ja. Zodra je "open source" als oorzaak aanwijst, wat jij deed, zeg ik nee.

Open source of closed source, iemand moet nog steeds het bijwerken doen. En dat is "beheer".

Ik denk niet dat wijlen E.W. Dijkstra erg onder de indruk zou zijn van jouw redeneerkunsten.

Dat klinkt alsof het probleem niet alleen is dat er mensen rondlopen die dat soort dingen beweren maar ook dat er geen ervaren mensen aanwezig zijn die daar moeiteloos doorheen prikken en geen competente managers die dat al even makkelijk doen. Eigenlijk klinkt het alsof je niet, zoals je altijd beweert, je werkervaring in professionele organisaties hebt opgebouwd maar in organisaties waar professionaliteit ver te zoeken is.

Ik heb ook te vaak in de praktijk meegemaakt dat het buiten regende. Ik denk dat de regen verantwoordelijk is voor de problemen bij Equifax.

Het causale verband tussen de succesvol uitgevoerde aanval en het gebruik van OSS (wat je trouwens in welhaast iedere post aangeeft die je hier op security.nl plaatst) is niet aangetoond. Jouw ervaringen op dit gebied staan los van wat hier is gebeurd. Ik ervaar dag in dag uit zeer slechte Windows beheerders die via letterlijke examenvragen en braindumps hun examens hebben binnengeklikt, en vervolgens op hun CV pronken met alle titeltjes die ze hebben "gehaald". Niet alle succesvol uitgevoerde aanvallen op Windows infrastructuren kunnen echter herleid worden tot dit gedrag.

Dat je in je laatste zin vervolgens zegt dat het bewijs van correctheid geleverd moet worden, iets dat jij in deze post (en menig andere post) niet doet, is ironisch. Doe me dus een lol, en kom met het bewijs van correctheid dat OSS in dit geval de oorzaak is van de Equifax hack. Lukt dat niet, temper dan voortaan je drang om meteen te wijzen naar OSS en om er een flame war van te maken. Het zadel van je stokpaard zit je overduidelijk als gegoten, maar zorgt voor een hoop onnodig getrol en een flinke verlaging van de kwaliteit van de discussies hier.

Als de enige mogelijke discussie hier eentje van os flaming is dan moet je niet naar mij wijzen.

Voor het oss verband het staat gewoon in het artikel.
Warm heb je daar een probleem mee?
Zolang did verknochtheid aan een os blijft schiet het niet op.

Ik begrijp niet helemaal wat je probleem is met aangesproken te worden op dingen die je zelf zegt.

Nee, dat staat er niet. Er staat dat er software niet gepatcht was. Er staat niet dat open source de oorzaak is van niet patchen. Dat maak jij ervan. Van een operating system was geen sprake, ook dat maak jij ervan.

Vertel. Hoe in jouw kromme denkwereldje (F)OSS verantwoordelijk zou zijn voor het wanbeheer dat tot deze hacks heeft geleid. En hoe het wanbeheer bij closed source (https://www.security.nl/posting/608738/Canada+waarschuwt+voor+aanvallen+op+Microsoft+SharePoint) zou verschillen bij dat van open source.

Overcome vroeg je niet om het verband aan te tonen maar om de causaliteit ervan in dit specifieke geval aan te tonen. Ligt het lek bij Equifax aan open source of kan het ook aan wat anders liggen?

Je haalt Edsger Dijkstra aan om te benadrukken dat correctheid bewezen moet worden en niet alleen aangenomen maar je projecteert doodleuk ervaringen die jij kennelijk hebt gehad op een bedrijf in een heel ander deel van de wereld en vindt kennelijk dat je zelf daarmee voldoende bewijs hebt om te weten hoe het daar mis is gegaan. Het probleem daarmee is dat het misschien wel op die manier gegaan kan zijn, maar dat er ook andere verklaringen mogelijk zijn en je niets hebt bewezen als je niet controleert of de patronen waarvan je vermoedt dat die van toepassing zijn daar ook werkelijk zijn opgetreden en de oorzaak zijn. Als je die verificatiestap overslaat en je vermoedens, ook al zijn die op een hoop ervaring gebaseerd, voor bewijzen aanziet dan begeef je je in het domein van vooroordelen en ben je ver verwijderd van wat Edsger Dijkstra bedoelde met bewijs.