Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » SANS bestempelt IIS als meest onveilige Windows-software

SANS bestempelt IIS als meest onveilige Windows-software

Door David Menting, zaterdag 11 oktober 2003 20:30
Bron: SANS, views: 3.406

SANS, een instituut dat computerbeveiligingstrainingen geeft, publiceert in zijn top 20 van meest kwetsbare internet-toepassingen dat IIS op het Windows-platform het meest kwetsbaar is. De software kan eenvoudig geveld worden door denial of service-aanvallen, en kan in sommige gevallen gevoelige gegevens blootleggen. Naast IIS, vinden we op de Windows-lijst onder andere MSSQL, Windows-aanmelding en Internet Explorer. De Unix Top 10 onveilige software wordt aangevoerd door het BIND Domain Name System, gevolgd door RPC en de veel gebruikte Apache-webserver. Hier volgt nog even een klein stukje historie van de SANS Top 20:

SANS LogoThree years ago, the SANS Institute and the National Infrastructure Protection Center (NIPC) at the FBI released a document summarizing the Ten Most Critical Internet Security Vulnerabilities. Thousands of organizations used that list, and the expanded Top Twenty lists that followed one and two years later, to prioritize their efforts so they could close the most dangerous holes first. The vulnerable services that led to the examples above Blaster, Slammer, and Code Red, as well as NIMDA worms - are on that list.
Volgende 21:03 Toshiba introduceert twee nieuwe notebooks
Vorige 18:08 Abit VA-11 met VIA UniChrome KM400-chipset op komst
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 60 reacties zichtbaar600 Off-topic / Irrelevant: 58 reacties zichtbaar58+1 On-topic: 42 reacties zichtbaar42+2 Informatief: 10 reacties zichtbaar10+3 Spotlight: 1 reactie zichtbaar1
«  1  2  3  »

Door AppleWatcher, zaterdag 11 oktober 2003 20:34

Score: 0
hmz ik denk dat IIS vrij veilig is; zolang je updates maar consequent en tijdig installeert.

Ik denk dat vooral de stabiliteit van IIS discutabel is, vooral in combinatie met bijvoorbeeld Visual Studio .NET (2003 oid). Een paar keer achter elkaar een ASP.NET-project compilen en tegelijk een virtual directory aanmaken én IIS resetten maakt deze service niet echt stabiel. Ik ben van mening dat dat toch wel moet kunnen ;)

Door Fatamorgana, zaterdag 11 oktober 2003 20:43

Score: 1
hmz ik denk dat IIS vrij veilig is; zolang je updates maar consequent en tijdig installeert.
Ik heb voor een opdracht dus pas IIS geinstalled en meteen alle patches er op gezet (tegen MSBLAST enzo). Gevolg, IIS doet het niet meer. Na uninstallen van de patches werkt ie gewoon weer.

Het is dus niet altijd even handig om de updates er altijd zomaar op te zetten helaas...

Door Roland684, zondag 12 oktober 2003 03:15

Score: 2
hmz ik denk dat IIS vrij veilig is; zolang je updates maar consequent en tijdig installeert.
Natuurlijk mag je een eigen mening hebben, maar de experts zijn het hierover dus niet met jou eens. Over iets wat de experts aanduiden als "meest onveilige" gaan vertellen dat het volgens jou "vrij veilig" (of vrij niet ;) ) is , zonder enige onderbouwing, lijkt me niet goed voor je geloofwaardigheid.

Door CmdrKeen, maandag 13 oktober 2003 17:01

Score: 1
"De experts" zijn niet meer wat ze geweest zijn. Al die experts spreken elkaar dagelijks tegen. Je *moet* dus wel op je eigen ideeën afgaan.

Door mvt, maandag 13 oktober 2003 17:13

Score: 1
Ze zeggen dat het het mest onveilige is, niet of het onveilig is.
Als je moet zeggen wat het duurste is uit het rijtje mars, snickers, twix, blikje cola, dan kies je dan blikje cola. Maar betekend dat dat de cola gruwelijk duur is??

Door GruttePier, zondag 12 oktober 2003 11:58

Score: 2
da klopt inderdaad, en dat geven zij ook aan....

IISLock tool (en de daarbij behorende adviezen) is de beste die ik ooit geinstalleerd heb....
Let wel, ik ben de laatste tijd veel servers tegengekomen, beheert door 'experts' (tenminste...) en zie dan veel 'tips' niet uitgevoerd, zaken als remote beheer, printer spul ed. die standaard binnen IIS geinstalleerd worden, staan d'r nog vrolijk, terwijl je die bijna nooit nodig hebt. Ik draai ASP sites, ik heb dan alleen die ASP.dll's nodig, de rest kan weg. Gevolg, je sluit een heeeeeel groot deel van attacks hiermee uit.... Onveilig? Yep, misschien, maar na die wijzigingen een stuk minder....

Maar goed, dat geeft iid dat artikel verder wel aan. Goeie link trouwens, dank daarvoor richting de poster van dit gebeuren...

Door The Source, zaterdag 11 oktober 2003 20:37

Score: 1
De software kan eenvoudig geveld worden door denial of service-aanvallen
Een beetje goede DoS kan alles platleggen.

Hoe wordt de meest onveilig software gedefineerd? Door het aantal veiligheidslekker per jaar? Door het aantal beveiligde gegevens die ongeauthorizeerd verkregen kunnen worden? Het aantal installaties, of het aantal dat een patch gedownload is of zels het aantal niet gepatchte versies? Of wordt er ook nog rekening gehouden met het aantal gebruikers??

Maar het gaat kennelijk om het aantal keer dat een exploit misbruikt is... Imho niet echt een goede richtlijn om de titel "meest onveilige software" uit te delen.

Door YoNiE, zaterdag 11 oktober 2003 20:46

Score: 0
doordat iedere scriptkiddie als eerste probeert op een IIS server in te breken ;)

Door cc bcc, zondag 12 oktober 2003 00:58

Score: 2
En als een scriptkiddie het kan is er toch wel iets mis met de beveiliging toch?

Door eamelink, zondag 12 oktober 2003 13:16

Score: 1
In het geval van een (d)dos slaat dat natuurlijk nergens op.

Door ANdrode, zondag 12 oktober 2003 08:41

Score: 0
door de schade die het veroorzaakt..

Je kan niet ontkennen dat code red, blaster, en varianten er op, minder schade hebben aangericht dan 'een bug in apache versie 1.3.27' die dan maar op een gedeelte van de hosts draait wegens de diversiteit van het platform, in tegenstelling tot ISS

Door GruttePier, zondag 12 oktober 2003 11:47

Score: 1
[zeikie]ISS = schoonmaakbedrijf
IIS = MS webserver
[/zeikie]

Door LauPro, zondag 12 oktober 2003 14:50

Score: 1
Of wat dacht je van het International Space Station :+.

http://spaceflight.nasa.gov/

Door Olaf van der Spek, zondag 12 oktober 2003 11:31

Score: 2
Een beetje goede DoS kan alles platleggen.
Zo simpel is het niet. IMO mag DoS de server niet laten crashen en moet de server direct nadat de aanval gestopt is weer beschikbaar zijn.
Of de server crashed of niet zegt dus wel iets over de betrouwbaarheid.

Door Punica-, zondag 12 oktober 2003 16:37

Score: 1
Je weet niet eens om wat voor DoS het gaat, dit heeft niks met bandbreedte te maken, maar een DoS door een bug in de software, door een bepaalde string naar het programma te sturen kan ie gaan hangen of crashen, dat is ook een DoS.

Alleen waarom Apache zo hoog staat snap ik niet, zo lek is dat tohc niet ?

Door ANdrode, zondag 12 oktober 2003 19:43

Score: 1
geen enkel exploitable lek in ieder geval..
Toen die er laatst wel was, was er binnen 12 uur een onoficiele patch, en binnen 2 dagen zelfs nieuwe .deb's, die op de officiele patch gebaseerd waren

Door CmdrKeen, maandag 13 oktober 2003 17:05

Score: 1
Apache: a patchy server... Niet dat dat het een slechte webserver maakt hoor.. what's in a name ;)

Door swampy, zaterdag 11 oktober 2003 20:46

Score: 1
Technisch gezien, alle programma's die VAAK gebruikt worden voor online services lijken het onveiligste...het hangt eraf hoe je het bekijkt! Natuurlijk voeren de meest gebruikte programma's de lijsten aan....daar zijn de meeste gevallen gerapporteerd.

Kijk iets dat contact met de buitenwereld is levert inderdaad een gevaar op. Daar hoef je geen expert voor te zijn.

Maar lekken in Outlook enzo lijken mij gevaarlijker....bedrijven die door een lekke email client bestanden lekken over het internet enzo. Misschien gebeurt het minder maar ik vindt dat persoonlijk gevaarlijker.

Door michell902, zondag 12 oktober 2003 01:25

Score: 1
dan zou apache de onveiligste webserver moeten zijn.
( == de meest gebruikte webserver.)

Door GruttePier, zondag 12 oktober 2003 12:04

Score: 1
daar gaat het hier niet om. Hier wordt getoond wat BINNEN een besturingssysteem het meest kwetsbaar is... is geen vergelijk MS<->Linux/Unix.

Apache komt trouwens ook in de top 3 voor.
In beide lijstjes komen dezelfde 'services' tegen op vergelijkbare posities (webserver, mail, remote access, ..) dus .... waarom iedereen zo over MS begint, Unix is nie veel beter.

Wat ik veel vreemder vindt is dat er bij Unix een service op plaats 10 staat die juist NOOIT 'vulnerable' moeten zijn, nl SSL...

Door The Noid, zondag 12 oktober 2003 12:34

Score: 1
Tsja, als je een top10 maakt moet er iets op 1 staan... Ze zouden ook een top10 van alle software moeten maken.

Door wicherswereld, zondag 12 oktober 2003 15:46

Score: 0
Op 3 bij Windows , een puntje er uit gelicht...

The operating system or additional software creates administrative accounts with weak or nonexistent passwords.

Windows is out of the box ook niet zo secure.
Als men probeert wel enige maat van security toe te passen. Wordt dit op termijn afgestraft , door een corrupte register als men tracht onder een user account wat te installeren. De software moet dit niet afvangen, maar het OS moet dit afvangen.
Windows wordt naar mijn mening ook vaak ten onrechte als makkelijk bestempeld.
Als je default al alle permissies hebt is het ook makkelijker om een software pakket te installeren (dus ook een virus :))
Als default alle services aan staan , doet alles het ook.
Als er default geen firewall aan staan, heb je niet zoveel problemen met het i-netten. (Een virus , of een hacker heeft dan ook minder problemen met jouw pc :)

Een gebruiker zonder privileges, register keys vrijgeven zodat die normaal MSN, Outlook 97 onder Windows 2000 kan gebruiken noem ik niet echt simpel.
Dus...
waarom iedereen zo over Unix begint, MS is nie veel beter.

Door Glashelder, zaterdag 11 oktober 2003 20:48

Score: 0
Ik vindt dit nergens op slaan. Het hangt vaak helemaal van jezelf af hoe veilig zo'n stukje software is. Daarnaast staan wordt de lijst zo'n beetje aangevoerd door de meest gebruikte software, wat mij niet meer dan logisch lijkt :Z

Door Roland684, zondag 12 oktober 2003 03:15

Score: 1
Je vindt de lijst logisch, maar tegelijk nergens op slaan?
Natuurlijk wordt de lijst bevolkt door veelgebruikte software. Juist het feit dat ze veelgebruikt zijn maakt ze onveilig. Het wordt een heel erg aantrekkelijk doel voor hackers en virusschrijvers.

Als heel de wereld AXA sloten op de fiets zou hebben zitten wordt het voor het dievengilde heel aantrekkelijk om die sloten grondig te bekijken. En staat die ene fiets met een ander merk slot ineens heel veilig, niemand die dat type slot kent en open krijgt.
Als je je auto parkeert op schiphol tussen de andere 40000 auto's zit je hem eigenlijk in de showroom voor de autodieven. maar zet je hem in een of ander dorp waar geen hond komt, dan hoef je zelfs de deuren niet af te sluiten.

De meest interessante doelwitten liggen nu eenmaal het meest onder vuur en elk gaatje zal gevonden worden.

Vandaar ook dat de monopoliepositie van microsoft aangeduidt wordt als ernstig risico.

Door r a a p i e, zaterdag 11 oktober 2003 21:04

Score: 0
raar bericht. dan is pingen helemaal gevaarlijk als je het zo gaat bekijken...

Door GruttePier, zondag 12 oktober 2003 12:12

Score: 1
pingen zelf nie, maar het toelaten... nie echt gevaarlijk, maar je geeft informatie over je server 'weg'.

Door grimson, zaterdag 11 oktober 2003 21:07

Score: 1
Tsja ... welke versie praten we hier over ?
IIS 5 ? of 6 ?
Wereld van verschil dacht ik ..
/edit
W1.2 Operating Systems Affected
Windows NT 4 (any flavor) running IIS 4
Windows 2000 Server running IIS 5
Windows XP Professional running IIS 5.1

At the time of this writing, no vulnerabilities have been reported in Windows 2003 running IIS 6; however, it is reasonable to anticipate that vulnerabilities will be found and reported as production environments adopt the new platform in significant numbers.
Lekker makkelijk rederneren.
Nix gevonden nog, maar annemen dat versie 6 ook maar onveilig is.

Trouwens, Windows 2003 wordt echt wel goed ingezet tegenwoordig.
http://news.netcraft.com/archives/2003/09/10/windows_server_2003_doubl es_active_sites_since_july_5_were_previously_running_linux.html

Door digital_mayham, zondag 12 oktober 2003 00:16

Score: 2
In welk opzicht is er dan een verschil tussen IIS 5 en IIS 6 wat security betreft? Daar ben ik dan wel even benieuwd naar. Het onderliggende besturings systeem blijft toch een heel grote rol spelen bij de veiligheid van een applicatie..... En IIS (5/6) draait nu eenmaal alleen op Windows.

Door Bart B, zondag 12 oktober 2003 00:18

Score: 1
At the time of this writing, no vulnerabilities have been reported in Windows 2003 running IIS 6; however, it is reasonable to anticipate that vulnerabilities will be found and reported as production environments adopt the new platform in significant numbers.

Lekker makkelijk rederneren.
Nix gevonden nog, maar annemen dat versie 6 ook maar onveilig is.

Dat is helemaal niet zo verschrikkelijk gek om te denken hoor, want denk jij nu werkelijk dat heel IIS opnieuw gemaakt wordt? nee dus. De basis zal het zelfde blijven, waarmee de basis van alle problemen ook blijft bestaan

Door regmaster, zondag 12 oktober 2003 09:56

Score: 2
Dus jij hebt alle ins and outs van IIS 6 al bestudeerd dan? Je trekt een voorbarige conclusie zonder je in de materie verdiept te hebben. Lekker makkelijk.
II6 is namelijk compleet herschreven en werkt compleet anders dan IIS5. In de meeste gevallen zullen plugins die wel onder IIS5 werken dat niet meer onder IIS6 doen.
Het security schema is volledig anders.

Door Bart B, zondag 12 oktober 2003 11:28

Score: 0
Denk jij dat in een compleet nieuwe versie van IIS geen bugs voorkomen? nee! ze zullen dan iets anders zijn, maar aanwezig zijn ze zeker. Bij een hoop producten van MS moet je eigenlijk meteen beginnen met patches installen, en ik denk dat IIS daar geen uitzondering op is.

Door Roland684, zondag 12 oktober 2003 03:15

Score: 2
Trouwens, Windows 2003 wordt echt wel goed ingezet tegenwoordig
44 miljoen sites, waarvan er 175.000 win2003 gebruiken, dat is 0,4 procent... noem ik verwaarloosbaar.
5 providers hebben samen de helft van het marktaandeel win2003 in handen.

met zo weinig servers is het niet moeilijk om je marktaandeel te verdubbelen :+

Door GruttePier, zondag 12 oktober 2003 11:51

Score: 1
Tsja, vergelijkbaar met MSSQL, de laatste 'attack' op deze database server, gold alleen voor SQL2000 en niet voor SQL7...
maar goed.
Dit lijstje geeft een beeld van welke software op welk besturingssysteem het meest kwetsbaar is.... en dat simpel gerelateerd aan de attacks en ook (jawel) aan de hoeveelheid patches die steeds als gevolg daarvan gepubliceerd zijn...

Door ThePinguin, zaterdag 11 oktober 2003 21:28

Score: 1
De software kan eenvoudig geveld worden door denial of service-aanvallen
Voor een DoS aanval is vrijwel alle internet verkeer gevoelig voor dus hoeft het niet speciaal een zwakheid van IIS te zijn. Als het bedrijf die IIS deze goed beveiligd hoeft een DoS aanval geeneens effect te hebben.

en kan in sommige gevallen gevoelige gegevens blootleggen
ligt er ook aan hoe goed het door het bedrijf zelf beveiligd is. En als het al zo onveilig zou zijn komt ms over een maand met een patch om de beveiliging te verbeteren.

Naast IIS, vinden we op de Windows-lijst onder andere MSSQL
Deze programma's hoeven niet de meest onveilige programma's te zijn. Toevallig is het voor hackers nu popupair om deze systeemen te hacken omdat ze veel infomatie zouden kunnen bevatten, en andere systemen waar men mider op hacked maar veel gemakkelijker is zou dan beter beveiligd zijn :?. Verschillende services hebben zo ook hun prioriteit.

Over een maand zal dit beeld allang weer veranderd zijn en helemaal wanneer ms weer met patches komt.

Door Roland684, zondag 12 oktober 2003 03:15

Score: 2
Voor een DDos attack is vrijwel alles gevoelig, maar een DoS attack is prima af te weren. En het is natuurlijk helemaal een blamage als je sever ook na de aanval onbereikbaar blijft.

Natuurlijk ligt het er aan hoe goed een bedrijf beveiligd is, maar hoe goed een bedrijf beveiligd is ligt weer aan welke produkten ze gebruiken en hoe hard ze die beveiliging nodig hebben (ja, een minder druk behackt systeem is per definitie veiliger). En als je een zeer goed beveiligde dienst wilt opzetten, pak je dan een produkt wat onbekend is en niet de aandacht van (veel) hackers heeft, of pak je dan een produkt dat geplaagd wordt de bergen en bergen mensen die proberen dat produkt te kraken?

IIS heeft zijn reputatie zelf veroorzaakt doordat het ook goed mogelijk bleek om te slagen. Er was niet alleen de uitdaging, maar er was ook nog eens de beloning van het slagen. Het is niet "toevallig", zoals jij stelt, populair bij hackers.
Lockpicking (het openen van b.v. hangsloten) is een sport, compleet met officiële verenigingen etc. omdat het een uitdaging is en je ook kunt winnen, maar touwtrekken tegen een bulldozers is geen sport, het is gewoon niet leuk omdat je toch niet kunt winnen.

IIS is gewoon een bewezen onveilig produkt en het zal nog heel lang duren voordat ze daar van af zijn, mede doordat ze het zo populair hebben laten worden bij hackers. Tot die tijd is IIS gewoon een hele zwake schakel. Natuurlijk kun je inbraken vookomen door met allerlei extra beveiliging je site te beveiligen, maar dat verandert niets aan de veiligheid van IIS, maar verbetert enkel de veiligheid van de site als geheel. Als IIS zelf al veilig was geweest, had je die extra beveiliging niet eens nodig gehad.

Door afterburn, zaterdag 11 oktober 2003 21:45

Score: 2
Waarom wordt er in de titel nou gelijk weer over MS/IIS gesproken, terwijl het artikel zelf gewoon algemeen is? Is het zo moeilijk een catchy titel te verzinnen die niet tendentieus is? De berichtgeving hier gaat steeds verder achteruit :r .Vroegah werd iig op zijn minst nog de schijn van onpartijdigheid/objectiviteit opgehouden. Dat mensen, inclusief nieuwsposters/redactie een eigen voorkeur hebben is normaal, maar in tegenstelling tot ons, horen de laatsten te streven naar onpartijdige en objectieve berichtgeving.

Door xonen, zaterdag 11 oktober 2003 23:18

Score: 0
resultaten behaald in het verleden bieden geen garantie voor de toekomst :?

on-topic. je hebt wel een beetje gelijk, het artikeltje is een tikkie smaakmakend (lees gepeperd).

de 'servermarkt' wordt ook veel te makkelijk als één geheel gezien, en het liefst als 'windows vs linux'.

voor elke toepassing zo z'n server zou ik zeggen. wel komt microsoft traditioneel gezien nogal wat arrogant over, maar dat gaat vergezeld met macht, weten we al sinds de grieken.

bind op 1 en apache op 3 worden even hard genoemd, en op 8 in de unix top-10 staat ssh, waar bij windows outlook op 8 staat.

overigens wordt p2p vooral onder windows (nummer 9) geplaatst, wat imho geen verwijt naar microsoft toe is, hooguit is p2p onder windows een veelgebruikte toepassing. verder staan bij unix sendmail (6), ssl(10) en misconfiguration(9) in het lijstje alsmede 'general accounts/no passwords'.

zie het meer als waarschuwing, probeer je systeem een beetje dicht te timmeren. microsoft vs unix is imho hier niet echt aan de orde.

Door raptorix, zondag 12 oktober 2003 01:41

Score: 0
Lol what else is new, bij tweakers kunnen ze alleen maar nablaten wat andere sites melden, en zelfs dat kunnen ze niet eens op een objectieve manier. Kan iemand me trouwens eens uitleggen waarom tweakers nooit zelf in staat is een artikeltje te schrijven?

Door basb, zaterdag 11 oktober 2003 22:05

Score: 0
LOL

IIS en apache als erg gevoelig beoordeeld

Duh, beide veel gebruikt en beide hebben af en toe is een lek dan wel zijn vaak zo lek als een mandje.

Onderzoek zou zich beter op richten hoeveel moeite gedaan moet worden om een systeem te beveiligen. Als je elke week een patch moet draaien die mogelijk je server meteen plat gooit, dan vind ik dat bijv. extreem onveilig.

Domweg de meest gebruikte applicaties erop zetten tja... dat is niet zinvol....

Door Bart B, zondag 12 oktober 2003 00:22

Score: 1
Als je het artikel gezien had, dan had je gezien dat de onderzoekers er een aantal heel goede tips geven om er voor te zorgen dat je systeem minder gevoelig wordt voor hackers.

Verder is het natuurlijk heel logisch dat de meest gebruikte programma's er op staan! immers, voor een hacker is het niet interressant om heel veel tijd te besteden aan een exploit die maar in 0,1% van de aan internet gekoppelde systemen aanwezig is!
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 21:03 Toshiba introduceert twee nieuwe notebooks
Vorige 18:08 Abit VA-11 met VIA UniChrome KM400-chipset op komst
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011