Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Top-20 van veiligheidslekken onder Windows en Unix

Top-20 van veiligheidslekken onder Windows en Unix

Door Mark Timmer, donderdag 3 oktober 2002 15:29
Bron: SANS, submitter: zomertje, views: 865

Net als voorgaande jaren heeft de FBI in samenwerking met het SANS-Institute (SysAdmin, Audit, Networking and Security) een lijst opgesteld met de belangrijkste beveiligingsfouten onder Windows en Unix. Van beide besturingssystemen en samenhangende software heeft men tien lekken verzameld, die volgens de onderzoekers zo snel mogelijk gedicht dienen te worden. In de highscores van Windows wordt voornamelijk Microsoft's Internet Information Services vaak genoemd, terwijl aan het Unix-front de Apache Webserver er niet goed vanaf komt. Ook Microsoft's SQL Server en Internet Explorer, en Unix' SSH en FTP komen voor op de blacklist:

ViruswaarschuwingThe majority of the successful attacks on operating systems come from only a few software vulnerabilities. This can be attributed to the fact that attackers are opportunistic, take the easiest and most convenient route, and exploit the best-known flaws with the most effective and widely available attack tools. They count on organizations not fixing the problems, and they often attack indiscriminately, scanning the Internet for any vulnerable systems. System compromises in the Solar Sunrise Pentagon hacking incident, for example, and the easy and rapid spread of the Code Red and NIMDA worms can be traced to exploitation of unpatched vulnerabilities.
Volgende 15:52 Creative introduceert Inspire 6.1 6600 speakerset
Vorige 15:19 Nieuwe Sony PDA's met PalmOS 5
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 47 reacties zichtbaar470 Off-topic / Irrelevant: 45 reacties zichtbaar45+1 On-topic: 41 reacties zichtbaar41+2 Informatief: 20 reacties zichtbaar20+3 Spotlight: 1 reactie zichtbaar1
«  1  2  »

Door frim, donderdag 3 oktober 2002 15:32

Score: 1
volgens mij mag die site zelf wel eens naar zijn beveiligingslekken kijken :) ik kom er iig niet op :(

Door Sir_Killalot, donderdag 3 oktober 2002 15:36

Score: 0
Hier met Win 98SE en IE 6.0 SP1 wel :)

Door Skyclad, donderdag 3 oktober 2002 15:33

Score: 2
Hebben ze ook een lijstje van hoe lang het duurde voordat er een patch beschikbaar was nadat het bekend werd? ;)

Door [JtF]CeeKay, donderdag 3 oktober 2002 15:35

Score: 2
Ik denk dat ze bedoelen dat die gaten nu nog volledig of gedeeltelijk open staan, dus over een lijst met patches kan (voorlopig) niets gezegd worden

Door DenDave, vrijdag 4 oktober 2002 10:35

Score: 1
Nope... er zijn een aantal issues die met bepaalde versies relevant zijn maar zij melden vanaf welke versie het Ok is.. bijv ssh:

http://www.sans.org/top20/#U3

Door SirBlade, donderdag 3 oktober 2002 16:53

Score: 3
Most of these exploits are successful only against older versions of the software. In fact, Sendmail has not had a 'high' severity vulnerability in more two years. Despite the fact that these older problems are well documented and have been repaired in newer releases, there remain so many outdated or mis-configured versions still in use today that Sendmail remains one of the most frequently attacked services.

Wat maakt het uit hoe snel een patch beschikbaar wordt als mensen hem niet installeren.

Ik denk dat het een hele goede ontwikkeling zou zijn als er in de linux-distributies een auto-update komt te zitten die standaard aan staat.

En dat de eigenaar van een pc verantwoordelijk gehouden kan worden voor schade die via zijn pc aan andere word aangericht. Zeker als het gaat om oude exploits. Ik weet dat sommige virussen binnen enkele uren de wereld rond gaan en dat daar nauwelijk tegen te werken is. Maar als jouw bak gekraakt via een maanden oude bug, en hij wordt vervolgens gebruikt voor een DDOS mogen ze je dat wel aanrekenen.

En geef providers de bevoegdheid hun klanten te scannen op bekende exploits en de indien gevonden tijdelijk af te sluiten.

Mischien harde maatregelen, maar gezien de schade die kan worden aangericht noodzakelijk.

Door basb, donderdag 3 oktober 2002 18:18

Score: 2
Autoupdate kan toe leiden dat het systeem niet meer opstart. Dit ben ik bij testen op bijv. compaq proliant 7000 servers tegen gekomen.

Sowieso is blindelings updaten van servers niet slim :)

Meestal gaat men pas beveiligen nadat er ingebroken is op het netwerk.

Door arjankoole, zaterdag 5 oktober 2002 15:07

Score: 1
helemaal correct, wij testen ook wel even 3 keer voor we iets definitief d'r in zetten.

dat van die Compaqs heb ik vaker gehoord ja, te belachelijk voor woorden als je d'r over nadenkt. Maar ja, Compaq verbouwt zoveel aan Hardware, en soms aan de windows versie die ze meeleveren, dat updates van Microsoft niet compatible zijn met de onderdelen van Compaq....

Door michell902, vrijdag 4 oktober 2002 02:01

Score: 1
ik neem dat je dan ook vind dat elke windowsgebruiker die niet patched en viruszooi verspreid dan per definitie aangepakt moet worden?

lijkt me een mooi streven.. 95% minder users op het internet ;)

Door musiman, vrijdag 4 oktober 2002 08:53

Score: 1
Semi-automatisch is beter.
Oftewel, gewoon een knop op de desktop, welke ervoor zorgt dat gekeken wordt naar de geinstalleerde programma's en vervolgens (wel automatisch) de updates en security patches downloadt en installeert.

Zoiets heeft Caldera (tegenwoordig trouwens SCO genoemd) bijvoorbeeld in hun OpenLinux distro's.
Dit werkt als een tierelier.

Door Bugu, vrijdag 4 oktober 2002 10:26

Score: 1
Of je neemt de Windows versie, en die stel je dan zo in dat je:
a) wordt gewaarschuwd als er nieuwe updates beschikbaar zijn, daarna opdracht geeft te downloaden, daarna opdracht geeft te installeren
b) wordt gewaarschuwd dat er nieuwe updates zijn en dat ze klaar zijn om te installeren (al gedownload)
c) alles volautomatisch gaat, als je toch geen mission critical systeem hebt.
Zo'n desktop knop is natuurlijk leuk, maar het probleem blijft hetzelfde: dan moeten mensen op die knop drukken... Daarom vind ik optie b het best: updates staan klaar maar je kan altijd nog besluiten of je ze wel of niet installeert... Tenzij je natuurlijk een dure internetverbinding hebt (in bytes/uur), want dan kun je beter voor optie a gaan...

Door Z161, vrijdag 4 oktober 2002 12:17

Score: 1
En dat de eigenaar van een pc verantwoordelijk gehouden kan worden voor schade die via zijn pc aan andere word aangericht. Zeker als het gaat om oude exploits.
Leuk is dat, dus als ik mijn auto een keer niet goed op slot doe, en iemand gaat ermee joyriden en richt wat schade aan andere auto's en wat winkels ofzo, moeten ze dat mij dan ook aanrekenen volgens jou?

Beetje scheve wereld krijg je dan... de hackers worden meestal niet aangepakt omdat die lastig zijn te tracen maar de eigenaren van de computers die ze misbruiken wel.

Door EWS99, donderdag 3 oktober 2002 15:36

Score: 2
Ik vind windows en Unix appels met peren vergelijken, omdat de services in windows van MS zelf zijn, maar de services van Unix zijn allemaal 3rd party.
In Unix zijn vaak meerdere varianten van een bepaalde service beschikbaar.

Door raptorix, donderdag 3 oktober 2002 15:39

Score: 2
Op zich heb je gelijk, echter de meeste services die vulnerable zijn onder MS OS'en kan je zelf (de)activeren, dan wel installeren.

In dat opzicht is er dus wel een vergelijking te trekken.

Door raptorix, donderdag 3 oktober 2002 15:41

Score: 1
Relatief veilig? Iets is veilig of niet, en dat is nauwelijks OS afhankelijk, wat wel scheelt is dat je bij sommige os'en relatief veel moet doen om een goed beveiligings niveau op te bouwen. MS vergt relatief veel handelingen, echter de documentatie ervan is erg goed, en ook de ingebouwde security update methode is erg gebruiksvriendelijk.

Door Jimp, donderdag 3 oktober 2002 23:07

Score: 1
Dat zie ik toch anders. Als de gebruiker heel voorzichtig doet over het algemeen en alle poorten dicht heeft behalve die voor email (25) en web (80) kan het alsnog voorkomen dat door het "perongeluk" aanklikken van een bestandje de boel geinfecteerd wordt. Dit zou na het klikken nooit zijn gebeurd als het lek er niet was en zodoende wil ik toch een deel van de "schuld" (als je het zo mag noemen) bij het desbetreffende OS leggen.

Door Venator, donderdag 3 oktober 2002 15:38

Score: 1
En dit zijn ze:
W1 Internet Information Services (IIS)
W2 Microsoft Data Access Components (MDAC) --
Remote Data Services
W3 Microsoft SQL Server
W4 NETBIOS -- Unprotected Windows NetworkingShares
W5 Anonymous Logon -- Null Sessions
W6 LAN Manager Authentication -- Weak LM Hashing
W7 General Windows Authentication -- Accounts
with No Passwords or Weak Passwords
W8 Internet Explorer
W9 Remote Registry Access
W10 Windows Scripting Host

Top Vulnerabilities to Unix Systems

U1 Remote Procedure Calls (RPC)
U2 Apache Web Server
U3 Secure Shell (SSH)
U4 Simple Network Management Protocol (SNMP)
U5 File Transfer Protocol (FTP)
U6 R-Services -- Trust Relationships
U7 Line Printer Daemon (LPD)
U8 Sendmail
U9 BIND/DNS
U10 General Unix Authentication -- Accounts with No
Passwords or Weak Passwords
Nu is de vraag of dit nu weer een pro unix/anti windows/pro windows/anti-unix thread gaat worden ;)

Door Beaves, donderdag 3 oktober 2002 15:48

Score: 2
W7 General Windows Authentication -- Accounts
with No Passwords or Weak Passwords

Dat mag je eigenlijk niet het OS aanrekenen, maar een domme en luie sys-admin, het is toch niet zo moeilijk om tijdens de installatie het administator en root passwd in te voeren i.p.v. blind op "verder" te klikken?

Een OS kan nog zo veilig zijn, als de beheerder geen flauw benul heeft waar hij/zij mee bezig is dan doe je daar niets tegen. Ik krijg OpenBSD (toch een van de veiligste OS'en ter wereld) zo lek als een mandje.

In ieder geval vind ik die twee punten dus nergens op slaan...

Door rfoppen, donderdag 3 oktober 2002 15:58

Score: 2
Helemaal gelijk maar het zou in principe nog beter zijn om bv geen lege w8woorden toe te staan binnen een OS (en al helemaal niet voor root \ administrator)

Zelfde vind ik gelden voor bv een nieuwe share binnen een windows OS meteen Everyone Full Control....... maak dat standaard gewoon Everyone Access Denied oid en je loopt tegen minder problemen aan. Meer werk maar goed dat moet dan maar

Door ^Mo^, donderdag 3 oktober 2002 17:12

Score: 2
Tja, maar moet je dan alles gaan verbieden?
Dan kun je net zo goed zeggen dat beheerders verplicht patches moeten installeren, een soort van verplichte windows- of linuxupdate zeg maar.
Veel van deze lekken die op de lijst staan is al een patch beschikbaar, maar de exploits hebben juist zoveel succes omdat admins het nalaten de patches te installeren.

Door QuarK, donderdag 3 oktober 2002 19:23

Score: 2
Even een voetnootje:
Na de installatie van SP1 voor WinXP staat bij mij het vinkje bij "Allow network users to change my files" uit als je een dir wilt gaan sharen.

Door McCormick, vrijdag 4 oktober 2002 16:04

Score: 1
Alleen jammer dan dat dan NIEMAND dan toegang heeft, deny op everyone is per definitie geen toegang, maakt niet hoeveel allows je daar tegenover zet ;)

Door dystopia, zaterdag 5 oktober 2002 20:53

Score: 1
Dat mag je eigenlijk niet het OS aanrekenen, maar een domme en luie sys-admin, het is toch niet zo moeilijk om tijdens de installatie het administator en root passwd in te voeren i.p.v. blind op "verder" te klikken?
Deels mee eens. Is positief voor de sysadmin wanneer het OS de sysadmin hiervoor waarschuwt. Of, iets harder beleid: dit onmogelijk maakt. Niet alleen slechte/geen wachtwoorden op root, ook op useraccounts is dit slecht. Lokaal komen er vaker lekken om de hoekkijken dan remote.

Je tweede punt klopt m.i. ook deels. Kijk, als deze admin nou netjes met z'n systemen om ging dan had hij de andere lekken ook gedicht. Dus wachtwoorden issue hoort er ook bij, het is alleen een ander 'soort' beveiligingsrisico dan de andere. Social engineering hoort hier ook bij.

Daarnaast worden de meeste cracks gemaakt dmv. een of meerdere configuratiefouten.

Door BaatZ, donderdag 3 oktober 2002 15:38

Score: 2
In de highscores van Windows wordt voornamelijk Microsoft's Internet Information Services vaak genoemd, terwijl aan het Unix-front de Apache Webserver er niet goed vanaf komt. Ook Microsoft's SQL Server en Internet Explorer, en Unix' SSH en FTP komen voor op de blacklist:
Dat is ook niet zo verbazingwekkend.
Deze programma's en protocollen worden het meest gebruikt, dus is het het interessantst om daar eens goed naar bugs, exploits en lekken te zoeken, omdat je er dan het meeste mee kan.
Om uitgebreid te gaan zoeken naar gaten in software als "mijn eerste franse woordjes - op internet !" heeft totaal geen zin, omdat je dan als hacker alleen maar 1 persoon treft, maar met bijvoorbeeld apache tref je gelijk miljoenen servers.

Door Bollie, donderdag 3 oktober 2002 15:40

Score: 0
Pagina was net even uit de lucht, kreeg hem ook niet meteen te zien.

Door markjanssen, donderdag 3 oktober 2002 15:47

Score: 1
Tja... er staat niet veel nieuws in... alle genoemde lekken zijn al erg oud, en verder staat er wat info waar iedere 'security-aware' admin toch al aan denkt (meer voor de niet zo slimme admins).

Voor alle genoemde problemen zijn fixes (voor zover software problemen), en de overige (r-commands, rpc etc) zou je helemaal niet moeten gebruiken, zeker niet open op het internet... maar dat weet ook iedereen wel...

:)

Door cablepokerface, donderdag 3 oktober 2002 16:39

Score: 1
Op zich wel leuk ... maar niets verbazends ... natuurlijk komen webservers boven aan die lijst te staan. Dat zijn de programma's die de http requests ontvangen en de opgevraagde informatie terugsturen.

Met de ontzettende mix aan Internet technologieen is het logisch dat de veiligheid van bijn iedere webserver wel op een bepaalde manier in gevaar komt ...
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 15:52 Creative introduceert Inspire 6.1 6600 speakerset
Vorige 15:19 Nieuwe Sony PDA's met PalmOS 5
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011