Microsoft: SolarWinds had in aangevallen software ASLR niet ingeschakeld
Klanten van softwarebedrijf SolarWinds werden onlangs het slachtoffer van een zeroday-aanval via een onbekende kwetsbaarheid in de FTP-software Serv-U. Nu blijkt uit onderzoek van Microsoft dat SolarWinds had nagelaten om in Serv-U een basale beveiligingsmaatregel genaamd ASLR in te schakelen, wat misbruik van eventueel aanwezige kwetsbaarheden eenvoudiger maakt.
Via Serv-U kunnen organisaties een server opzetten om bestanden via FTP, FTPS en SFTP uit te wisselen. Een aantal weken geleden ontdekte Microsoft dat een groep, die volgens het techbedrijf vanuit China opereert, een zerodaylek in de FTP-software gebruikte om bij SolarWinds-klanten binnen te dringen. SolarWinds werd door Microsoft gewaarschuwd en rolde vervolgens een beveiligingsupdate uit.
Microsoft heeft nu een analyse van het zerodaylek gepubliceerd. Daaruit blijkt dat SolarWinds geen gebruikmaakte van address space layout randomization (ASLR). Dit is een techniek die het lastiger maakt voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen. Dit moet het uitbuiten van kwetsbaarheden in applicaties veel lastiger maken. Bij het compileren van een programma kan de ontwikkelaar aangeven dat de software compatibel met ASLR is.
Sinds de lancering van Windows Vista in 2006 wordt ASLR door het besturingssysteem ondersteund. "Het inschakelen van ASLR is een eenvoudige compile-time flag die standaard staat ingeschakeld en sinds Windows Vista beschikbaar is. ASLR is een belangrijke beveiligingsmaatregel voor services die zijn blootgesteld aan niet-vertrouwde remote invoer, en vereist dat alle bestanden in het proces compatibel zijn om te voorkomen dat aanvallers hardcoded adressen in hun exploits gebruiken, zoals mogelijk was in Serv-U", aldus Microsoft.
Naast het delen van details over de kwetsbaarheid adviseerde Microsoft aan SolarWinds om ASLR voor alle bestanden van het Serv-U-proces in te schakelen. Of SolarWinds dit inmiddels heeft gedaan wordt niet in de analyse gemeld. De aanval op Serv-U staat los van de aanval die vorig jaar via het SolarWinds Orion-platform plaatsvond en waarbij gebruik werd gemaakt van officiële updates waar een backdoor aan was toegevoegd.
Reacties (19)
Nu blijkt uit onderzoek van Microsoft dat SolarWinds had nagelaten om in Serv-U een basale beveiligingsmaatregel genaamd ASLR in te schakelen, wat misbruik van eventueel aanwezige kwetsbaarheden eenvoudiger maakt.
Tegen slecht beheer is geen kruid gewassen.
Door Toje Fos:
Tegen slecht beheer is geen kruid gewassen.
Nu blijkt uit onderzoek van Microsoft dat SolarWinds had nagelaten om in Serv-U een basale beveiligingsmaatregel genaamd ASLR in te schakelen, wat misbruik van eventueel aanwezige kwetsbaarheden eenvoudiger maakt.
Tegen slecht beheer is geen kruid gewassen.
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Door Anoniem:
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Frustratie?niemand die zegt dat Linux al je problemen oplost. Het is wel gereedschap van betere kwaliteit. Zijn statement was tegen slecht beheer is geen kruid gewassen.Door Toje Fos:
Tegen slecht beheer is geen kruid gewassen.
Nu blijkt uit onderzoek van Microsoft dat SolarWinds had nagelaten om in Serv-U een basale beveiligingsmaatregel genaamd ASLR in te schakelen, wat misbruik van eventueel aanwezige kwetsbaarheden eenvoudiger maakt.
Tegen slecht beheer is geen kruid gewassen.
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Door Toje Fos:
Tegen slecht beheer is geen kruid gewassen.
Nu blijkt uit onderzoek van Microsoft dat SolarWinds had nagelaten om in Serv-U een basale beveiligingsmaatregel genaamd ASLR in te schakelen, wat misbruik van eventueel aanwezige kwetsbaarheden eenvoudiger maakt.
Tegen slecht beheer is geen kruid gewassen.
Even te snel gereageerd, dit is geen gevolg van slecht beheer maar van slecht programmeren (dan wel slecht management van een software ontwikkel traject)...
Het gaat om een compile-time flag.
Door Anoniem:
Door Anoniem:
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Frustratie?niemand die zegt dat Linux al je problemen oplost. Het is wel gereedschap van betere kwaliteit. Zijn statement was tegen slecht beheer is geen kruid gewassen.Door Toje Fos:
Tegen slecht beheer is geen kruid gewassen.
Nu blijkt uit onderzoek van Microsoft dat SolarWinds had nagelaten om in Serv-U een basale beveiligingsmaatregel genaamd ASLR in te schakelen, wat misbruik van eventueel aanwezige kwetsbaarheden eenvoudiger maakt.
Tegen slecht beheer is geen kruid gewassen.
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Beetje langer meelezen -
Toje Foss en walmare zijn inderdaad van die mensen die overal te pas maar vooral te onpas commentarieren dat elk security probleem alleen maar te wijten is aan een Microsoft OS en dat er maar Linux gebruikt had moeten worden .
Ook ik vind dat Linux een beter OS platform is - maar ik zal niet verkondigen dat je dan niks meer hoeft te doen en toch nooit een risico zult lopen .
Dus ja - goed gereedschap _helpt_ . Maar ook met goed gereedschap levert een totale prutser geen goed resultaat .
En een goede vakman maakt - ook met matig gereedschap - wel een goed resultaat .
Door Anoniem:
Even te snel gereageerd, dit is geen gevolg van slecht beheer maar van slecht programmeren (dan wel slecht management van een software ontwikkel traject)...
Het gaat om een compile-time flag.
Door Toje Fos:
Tegen slecht beheer is geen kruid gewassen.
Nu blijkt uit onderzoek van Microsoft dat SolarWinds had nagelaten om in Serv-U een basale beveiligingsmaatregel genaamd ASLR in te schakelen, wat misbruik van eventueel aanwezige kwetsbaarheden eenvoudiger maakt.
Tegen slecht beheer is geen kruid gewassen.
Even te snel gereageerd, dit is geen gevolg van slecht beheer maar van slecht programmeren (dan wel slecht management van een software ontwikkel traject)...
Het gaat om een compile-time flag.
Ja. ik dacht laat ik eens wat aardigs schrijven maar het (spaghetticodebouwwerk) is het inderdaad niet waard.
Door Anoniem:
Beetje langer meelezen -
Toje Foss en walmare zijn inderdaad van die mensen die overal te pas maar vooral te onpas commentarieren dat elk security probleem alleen maar te wijten is aan een Microsoft OS en dat er maar Linux gebruikt had moeten worden .
Ook ik vind dat Linux een beter OS platform is - maar ik zal niet verkondigen dat je dan niks meer hoeft te doen en toch nooit een risico zult lopen .
Dus ja - goed gereedschap _helpt_ . Maar ook met goed gereedschap levert een totale prutser geen goed resultaat .
En een goede vakman maakt - ook met matig gereedschap - wel een goed resultaat .
Je kletst uit je nek. Er is er niemand die zegt dat als je Linux gebruikt dan niks meer hoeft te doen. Goed gereedschap is wel het halve werk.Door Anoniem:
Door Anoniem:
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Frustratie?niemand die zegt dat Linux al je problemen oplost. Het is wel gereedschap van betere kwaliteit. Zijn statement was tegen slecht beheer is geen kruid gewassen.Door Toje Fos:
Tegen slecht beheer is geen kruid gewassen.
Nu blijkt uit onderzoek van Microsoft dat SolarWinds had nagelaten om in Serv-U een basale beveiligingsmaatregel genaamd ASLR in te schakelen, wat misbruik van eventueel aanwezige kwetsbaarheden eenvoudiger maakt.
Tegen slecht beheer is geen kruid gewassen.
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Beetje langer meelezen -
Toje Foss en walmare zijn inderdaad van die mensen die overal te pas maar vooral te onpas commentarieren dat elk security probleem alleen maar te wijten is aan een Microsoft OS en dat er maar Linux gebruikt had moeten worden .
Ook ik vind dat Linux een beter OS platform is - maar ik zal niet verkondigen dat je dan niks meer hoeft te doen en toch nooit een risico zult lopen .
Dus ja - goed gereedschap _helpt_ . Maar ook met goed gereedschap levert een totale prutser geen goed resultaat .
En een goede vakman maakt - ook met matig gereedschap - wel een goed resultaat .
Door Anoniem:
Je kletst uit je nek. Er is er niemand die zegt dat als je Linux gebruikt dan niks meer hoeft te doen. Goed gereedschap is wel het halve werk.
Het gaat er om hoe je het gereedschap gebruikt. Welk gereedschap je gebruikt is veel minder van belang.Je kletst uit je nek. Er is er niemand die zegt dat als je Linux gebruikt dan niks meer hoeft te doen. Goed gereedschap is wel het halve werk.
Door Anoniem:
Door Anoniem:
Beetje langer meelezen -
Toje Foss en walmare zijn inderdaad van die mensen die overal te pas maar vooral te onpas commentarieren dat elk security probleem alleen maar te wijten is aan een Microsoft OS en dat er maar Linux gebruikt had moeten worden .
Ook ik vind dat Linux een beter OS platform is - maar ik zal niet verkondigen dat je dan niks meer hoeft te doen en toch nooit een risico zult lopen .
Dus ja - goed gereedschap _helpt_ . Maar ook met goed gereedschap levert een totale prutser geen goed resultaat .
En een goede vakman maakt - ook met matig gereedschap - wel een goed resultaat .
Je kletst uit je nek. Er is er niemand die zegt dat als je Linux gebruikt dan niks meer hoeft te doen. Goed gereedschap is wel het halve werk.Door Anoniem:
Door Anoniem:
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Frustratie?niemand die zegt dat Linux al je problemen oplost. Het is wel gereedschap van betere kwaliteit. Zijn statement was tegen slecht beheer is geen kruid gewassen.Door Toje Fos:
Tegen slecht beheer is geen kruid gewassen.
Nu blijkt uit onderzoek van Microsoft dat SolarWinds had nagelaten om in Serv-U een basale beveiligingsmaatregel genaamd ASLR in te schakelen, wat misbruik van eventueel aanwezige kwetsbaarheden eenvoudiger maakt.
Tegen slecht beheer is geen kruid gewassen.
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Beetje langer meelezen -
Toje Foss en walmare zijn inderdaad van die mensen die overal te pas maar vooral te onpas commentarieren dat elk security probleem alleen maar te wijten is aan een Microsoft OS en dat er maar Linux gebruikt had moeten worden .
Ook ik vind dat Linux een beter OS platform is - maar ik zal niet verkondigen dat je dan niks meer hoeft te doen en toch nooit een risico zult lopen .
Dus ja - goed gereedschap _helpt_ . Maar ook met goed gereedschap levert een totale prutser geen goed resultaat .
En een goede vakman maakt - ook met matig gereedschap - wel een goed resultaat .
Wat ik zeg - vaker lezen bij ongeveer alle data lekken of hack incidenten is dat precies het commentaar van walmare en Toje Foss - alleen maar verwijzen naar de verkeerde OS keuze.
En daar herinner ik Toje Foss even aan dat het nu voor het eerst is dat hij (?) opmerkt dat tegen slecht beheer geen kruid gewassen is.
Dat _is_ terecht - alleen wordt die opmerking en nuance vrijwel nooit eerder door hem gemaakt.
Door Anoniem:
Onzin. Met een botte zaag kan je niet zagen.Door Anoniem:
Je kletst uit je nek. Er is er niemand die zegt dat als je Linux gebruikt dan niks meer hoeft te doen. Goed gereedschap is wel het halve werk.
Het gaat er om hoe je het gereedschap gebruikt. Welk gereedschap je gebruikt is veel minder van belang.Je kletst uit je nek. Er is er niemand die zegt dat als je Linux gebruikt dan niks meer hoeft te doen. Goed gereedschap is wel het halve werk.
Door Anoniem:
Door Anoniem:
Je kletst uit je nek. Er is er niemand die zegt dat als je Linux gebruikt dan niks meer hoeft te doen. Goed gereedschap is wel het halve werk.
Het gaat er om hoe je het gereedschap gebruikt. Welk gereedschap je gebruikt is veel minder van belang.Je kletst uit je nek. Er is er niemand die zegt dat als je Linux gebruikt dan niks meer hoeft te doen. Goed gereedschap is wel het halve werk.
Alleen knoeiers die hun vak niet beheersen zeggen zoiets.
Door Toje Fos:
Alleen knoeiers die hun vak niet beheersen zeggen zoiets.
Door Anoniem:
Door Anoniem:
Je kletst uit je nek. Er is er niemand die zegt dat als je Linux gebruikt dan niks meer hoeft te doen. Goed gereedschap is wel het halve werk.
Het gaat er om hoe je het gereedschap gebruikt. Welk gereedschap je gebruikt is veel minder van belang.Je kletst uit je nek. Er is er niemand die zegt dat als je Linux gebruikt dan niks meer hoeft te doen. Goed gereedschap is wel het halve werk.
Alleen knoeiers die hun vak niet beheersen zeggen zoiets.
Lijkt me ook, alsof je lekker kan spijkeren met een beitel ipv een hamer. Er is toch ook het gezegde "goed gereedschap is het halve werk", waar denk je dat vandaan komt.
Door Anoniem:
Wat ik zeg - vaker lezen bij ongeveer alle data lekken of hack incidenten is dat precies het commentaar van walmare en Toje Foss - alleen maar verwijzen naar de verkeerde OS keuze.
En daar herinner ik Toje Foss even aan dat het nu voor het eerst is dat hij (?) opmerkt dat tegen slecht beheer geen kruid gewassen is.
Dat _is_ terecht - alleen wordt die opmerking en nuance vrijwel nooit eerder door hem gemaakt.
Je kletst nog steeds uit je nek. Ik zie walmare niks beweren. Wat hij in andere topics beweerd klopt trouwens wel maar daar gaat het hier niet over. Houd je bij het onderwerp aub en reageer inhoudelijk.Door Anoniem:
Door Anoniem:
Beetje langer meelezen -
Toje Foss en walmare zijn inderdaad van die mensen die overal te pas maar vooral te onpas commentarieren dat elk security probleem alleen maar te wijten is aan een Microsoft OS en dat er maar Linux gebruikt had moeten worden .
Ook ik vind dat Linux een beter OS platform is - maar ik zal niet verkondigen dat je dan niks meer hoeft te doen en toch nooit een risico zult lopen .
Dus ja - goed gereedschap _helpt_ . Maar ook met goed gereedschap levert een totale prutser geen goed resultaat .
En een goede vakman maakt - ook met matig gereedschap - wel een goed resultaat .
Je kletst uit je nek. Er is er niemand die zegt dat als je Linux gebruikt dan niks meer hoeft te doen. Goed gereedschap is wel het halve werk.Door Anoniem:
Door Anoniem:
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Frustratie?niemand die zegt dat Linux al je problemen oplost. Het is wel gereedschap van betere kwaliteit. Zijn statement was tegen slecht beheer is geen kruid gewassen.Door Toje Fos:
Tegen slecht beheer is geen kruid gewassen.
Nu blijkt uit onderzoek van Microsoft dat SolarWinds had nagelaten om in Serv-U een basale beveiligingsmaatregel genaamd ASLR in te schakelen, wat misbruik van eventueel aanwezige kwetsbaarheden eenvoudiger maakt.
Tegen slecht beheer is geen kruid gewassen.
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Beetje langer meelezen -
Toje Foss en walmare zijn inderdaad van die mensen die overal te pas maar vooral te onpas commentarieren dat elk security probleem alleen maar te wijten is aan een Microsoft OS en dat er maar Linux gebruikt had moeten worden .
Ook ik vind dat Linux een beter OS platform is - maar ik zal niet verkondigen dat je dan niks meer hoeft te doen en toch nooit een risico zult lopen .
Dus ja - goed gereedschap _helpt_ . Maar ook met goed gereedschap levert een totale prutser geen goed resultaat .
En een goede vakman maakt - ook met matig gereedschap - wel een goed resultaat .
Wat ik zeg - vaker lezen bij ongeveer alle data lekken of hack incidenten is dat precies het commentaar van walmare en Toje Foss - alleen maar verwijzen naar de verkeerde OS keuze.
En daar herinner ik Toje Foss even aan dat het nu voor het eerst is dat hij (?) opmerkt dat tegen slecht beheer geen kruid gewassen is.
Dat _is_ terecht - alleen wordt die opmerking en nuance vrijwel nooit eerder door hem gemaakt.
Door Anoniem:
Wat ik zeg - vaker lezen bij ongeveer alle data lekken of hack incidenten is dat precies het commentaar van walmare en Toje Foss - alleen maar verwijzen naar de verkeerde OS keuze.
En daar herinner ik Toje Foss even aan dat het nu voor het eerst is dat hij (?) opmerkt dat tegen slecht beheer geen kruid gewassen is.
Dat _is_ terecht - alleen wordt die opmerking en nuance vrijwel nooit eerder door hem gemaakt.
Door Anoniem:
Door Anoniem:
Beetje langer meelezen -
Toje Foss en walmare zijn inderdaad van die mensen die overal te pas maar vooral te onpas commentarieren dat elk security probleem alleen maar te wijten is aan een Microsoft OS en dat er maar Linux gebruikt had moeten worden .
Ook ik vind dat Linux een beter OS platform is - maar ik zal niet verkondigen dat je dan niks meer hoeft te doen en toch nooit een risico zult lopen .
Dus ja - goed gereedschap _helpt_ . Maar ook met goed gereedschap levert een totale prutser geen goed resultaat .
En een goede vakman maakt - ook met matig gereedschap - wel een goed resultaat .
Je kletst uit je nek. Er is er niemand die zegt dat als je Linux gebruikt dan niks meer hoeft te doen. Goed gereedschap is wel het halve werk.Door Anoniem:
Door Anoniem:
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Frustratie?niemand die zegt dat Linux al je problemen oplost. Het is wel gereedschap van betere kwaliteit. Zijn statement was tegen slecht beheer is geen kruid gewassen.Door Toje Fos:
Tegen slecht beheer is geen kruid gewassen.
Nu blijkt uit onderzoek van Microsoft dat SolarWinds had nagelaten om in Serv-U een basale beveiligingsmaatregel genaamd ASLR in te schakelen, wat misbruik van eventueel aanwezige kwetsbaarheden eenvoudiger maakt.
Tegen slecht beheer is geen kruid gewassen.
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Beetje langer meelezen -
Toje Foss en walmare zijn inderdaad van die mensen die overal te pas maar vooral te onpas commentarieren dat elk security probleem alleen maar te wijten is aan een Microsoft OS en dat er maar Linux gebruikt had moeten worden .
Ook ik vind dat Linux een beter OS platform is - maar ik zal niet verkondigen dat je dan niks meer hoeft te doen en toch nooit een risico zult lopen .
Dus ja - goed gereedschap _helpt_ . Maar ook met goed gereedschap levert een totale prutser geen goed resultaat .
En een goede vakman maakt - ook met matig gereedschap - wel een goed resultaat .
Wat ik zeg - vaker lezen bij ongeveer alle data lekken of hack incidenten is dat precies het commentaar van walmare en Toje Foss - alleen maar verwijzen naar de verkeerde OS keuze.
En daar herinner ik Toje Foss even aan dat het nu voor het eerst is dat hij (?) opmerkt dat tegen slecht beheer geen kruid gewassen is.
Dat _is_ terecht - alleen wordt die opmerking en nuance vrijwel nooit eerder door hem gemaakt.
Ja. ik dacht laat ik eens een keer wat aardigs schrijven, nu het deze keer erop leek dat het probleem bij slecht beheer zou kunnen liggen, maar het (spaghetticodebouwwerk) is het gewoon niet waard, want in afgerond 100% van de gevallen ligt de root cause wel degelijk bij de slechte kwaliteit en het gebruik in professionele context van deze software voor lichte consumententoepassingen. En nee, je gebruikt als professional geen slecht, inferieur gereedschap (waarbij je jouw klanten wijsmaakt dat het gereedschap niet uitmaakt, omdat jij jezelf zo goed vindt). Nee, goed gereedschap is het halve (in dit geval, afgerond, het hele) werk.
Door Toje Fos:
Ja. ik dacht laat ik eens een keer wat aardigs schrijven, nu het deze keer erop leek dat het probleem bij slecht beheer zou kunnen liggen, maar het (spaghetticodebouwwerk) is het gewoon niet waard, want in afgerond 100% van de gevallen ligt de root cause wel degelijk bij de slechte kwaliteit en het gebruik in professionele context van deze software voor lichte consumententoepassingen. En nee, je gebruikt als professional geen slecht, inferieur gereedschap (waarbij je jouw klanten wijsmaakt dat het gereedschap niet uitmaakt, omdat jij jezelf zo goed vindt). Nee, goed gereedschap is het halve (in dit geval, afgerond, het hele) werk.
En waar komen precies alle grote data lekken vandaan? Ik zie daar heel weinig Windows systemen voorbij komen.Ja. ik dacht laat ik eens een keer wat aardigs schrijven, nu het deze keer erop leek dat het probleem bij slecht beheer zou kunnen liggen, maar het (spaghetticodebouwwerk) is het gewoon niet waard, want in afgerond 100% van de gevallen ligt de root cause wel degelijk bij de slechte kwaliteit en het gebruik in professionele context van deze software voor lichte consumententoepassingen. En nee, je gebruikt als professional geen slecht, inferieur gereedschap (waarbij je jouw klanten wijsmaakt dat het gereedschap niet uitmaakt, omdat jij jezelf zo goed vindt). Nee, goed gereedschap is het halve (in dit geval, afgerond, het hele) werk.
Allemaal grote Enterprise oplossingen, dus kwalitatief goed gereedschap? Zou je toch denken.....
Blijkbaar zit het toch net iets anders in elkaar als hier weer beweerd wordt. Maar dat weten de professionals al lang. Gebruik het juiste gereedschap voor het juiste werk. Ga niet schroeven indraaien met een zaag. Maar mijn karwij boormachine doet exact hetzelfde als mijn bosch blauw boormachine. Maar wel tegen een fractie van de kosten. En mijn timmerman kan hier ook gewoon mee werken.
Door Anoniem:
Allemaal grote Enterprise oplossingen, dus kwalitatief goed gereedschap? Zou je toch denken.....
Door Toje Fos:
Ja. ik dacht laat ik eens een keer wat aardigs schrijven, nu het deze keer erop leek dat het probleem bij slecht beheer zou kunnen liggen, maar het (spaghetticodebouwwerk) is het gewoon niet waard, want in afgerond 100% van de gevallen ligt de root cause wel degelijk bij de slechte kwaliteit en het gebruik in professionele context van deze software voor lichte consumententoepassingen. En nee, je gebruikt als professional geen slecht, inferieur gereedschap (waarbij je jouw klanten wijsmaakt dat het gereedschap niet uitmaakt, omdat jij jezelf zo goed vindt). Nee, goed gereedschap is het halve (in dit geval, afgerond, het hele) werk.
En waar komen precies alle grote data lekken vandaan? Ik zie daar heel weinig Windows systemen voorbij komen.Ja. ik dacht laat ik eens een keer wat aardigs schrijven, nu het deze keer erop leek dat het probleem bij slecht beheer zou kunnen liggen, maar het (spaghetticodebouwwerk) is het gewoon niet waard, want in afgerond 100% van de gevallen ligt de root cause wel degelijk bij de slechte kwaliteit en het gebruik in professionele context van deze software voor lichte consumententoepassingen. En nee, je gebruikt als professional geen slecht, inferieur gereedschap (waarbij je jouw klanten wijsmaakt dat het gereedschap niet uitmaakt, omdat jij jezelf zo goed vindt). Nee, goed gereedschap is het halve (in dit geval, afgerond, het hele) werk.
Allemaal grote Enterprise oplossingen, dus kwalitatief goed gereedschap? Zou je toch denken.....
Daar wordt vaak vergeten een default wachtwoord te veranderen, etc. (dus slecht beheer, etc.)
Door Anoniem: Blijkbaar zit het toch net iets anders in elkaar als hier weer beweerd wordt.
Hoezo? Die conclusie kan je helemaal niet trekken hieruit.
Door Anoniem: Maar dat weten de professionals al lang. Gebruik het juiste gereedschap voor het juiste werk. Ga niet schroeven indraaien met een zaag. Maar mijn karwij boormachine doet exact hetzelfde als mijn bosch blauw boormachine. Maar wel tegen een fractie van de kosten. En mijn timmerman kan hier ook gewoon mee werken.
#nofurthercomment
06-09-2021, 09:24 door
Bitje-scheef
Door Anoniem:
Beetje langer meelezen -
Toje Foss en walmare zijn inderdaad van die mensen die overal te pas maar vooral te onpas commentarieren dat elk security probleem alleen maar te wijten is aan een Microsoft OS en dat er maar Linux gebruikt had moeten worden .
Ook ik vind dat Linux een beter OS platform is - maar ik zal niet verkondigen dat je dan niks meer hoeft te doen en toch nooit een risico zult lopen .
Dus ja - goed gereedschap _helpt_ . Maar ook met goed gereedschap levert een totale prutser geen goed resultaat .
En een goede vakman maakt - ook met matig gereedschap - wel een goed resultaat .
Door Anoniem:
Door Anoniem:
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Frustratie?niemand die zegt dat Linux al je problemen oplost. Het is wel gereedschap van betere kwaliteit. Zijn statement was tegen slecht beheer is geen kruid gewassen.Door Toje Fos:
Tegen slecht beheer is geen kruid gewassen.
Nu blijkt uit onderzoek van Microsoft dat SolarWinds had nagelaten om in Serv-U een basale beveiligingsmaatregel genaamd ASLR in te schakelen, wat misbruik van eventueel aanwezige kwetsbaarheden eenvoudiger maakt.
Tegen slecht beheer is geen kruid gewassen.
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Beetje langer meelezen -
Toje Foss en walmare zijn inderdaad van die mensen die overal te pas maar vooral te onpas commentarieren dat elk security probleem alleen maar te wijten is aan een Microsoft OS en dat er maar Linux gebruikt had moeten worden .
Ook ik vind dat Linux een beter OS platform is - maar ik zal niet verkondigen dat je dan niks meer hoeft te doen en toch nooit een risico zult lopen .
Dus ja - goed gereedschap _helpt_ . Maar ook met goed gereedschap levert een totale prutser geen goed resultaat .
En een goede vakman maakt - ook met matig gereedschap - wel een goed resultaat .
Prima verwoordt
Door Bitje-scheef:
Prima verwoordt
Helemaal niet goed verwoord want het klopt niet en de aaname deugd niet.Door Anoniem:
Beetje langer meelezen -
Toje Foss en walmare zijn inderdaad van die mensen die overal te pas maar vooral te onpas commentarieren dat elk security probleem alleen maar te wijten is aan een Microsoft OS en dat er maar Linux gebruikt had moeten worden .
Ook ik vind dat Linux een beter OS platform is - maar ik zal niet verkondigen dat je dan niks meer hoeft te doen en toch nooit een risico zult lopen .
Dus ja - goed gereedschap _helpt_ . Maar ook met goed gereedschap levert een totale prutser geen goed resultaat .
En een goede vakman maakt - ook met matig gereedschap - wel een goed resultaat .
Door Anoniem:
Door Anoniem:
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Frustratie?niemand die zegt dat Linux al je problemen oplost. Het is wel gereedschap van betere kwaliteit. Zijn statement was tegen slecht beheer is geen kruid gewassen.Door Toje Fos:
Tegen slecht beheer is geen kruid gewassen.
Nu blijkt uit onderzoek van Microsoft dat SolarWinds had nagelaten om in Serv-U een basale beveiligingsmaatregel genaamd ASLR in te schakelen, wat misbruik van eventueel aanwezige kwetsbaarheden eenvoudiger maakt.
Tegen slecht beheer is geen kruid gewassen.
Goed statement - moet je vooral ook op jezelf toepassen als je weer eens toetert dat alle problemen opgelost zijn als je maar Linux als OS gekozen hebt.
Maar Microsoft heeft hierin wel gelijk - ASLR _is_ een mechanisme dat exploits moeilijker (of pogingen meer zichtbaarder in logs) maakt.
Het mechanisme bestaat ook - langer zelfs - voor Linux, en andere Unixen.
Beetje langer meelezen -
Toje Foss en walmare zijn inderdaad van die mensen die overal te pas maar vooral te onpas commentarieren dat elk security probleem alleen maar te wijten is aan een Microsoft OS en dat er maar Linux gebruikt had moeten worden .
Ook ik vind dat Linux een beter OS platform is - maar ik zal niet verkondigen dat je dan niks meer hoeft te doen en toch nooit een risico zult lopen .
Dus ja - goed gereedschap _helpt_ . Maar ook met goed gereedschap levert een totale prutser geen goed resultaat .
En een goede vakman maakt - ook met matig gereedschap - wel een goed resultaat .
Prima verwoordt
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
