Hacker presenteert goedkope netwerkbeveiliging
Op de Hack in the Box-beveiligingsconferentie in Amsterdam heeft hacker John Flowers een goedkoop, open alternatief voor traditionele netwerkbeveiliging geïntroduceerd. Kane-Box bestaat uit opensource-software en simpele hardware.
Volgens John 'Kanen' Flowers is Kane-Box een firewall, router en een intrusion prevention system in één. Flowers stelt dat het systeem niet met signatures en regels werkt, zoals gebruikelijk bij netwerkbeveiligingssystemen. Volgens hem leert het systeem uit zichzelf wat goed en slecht internetverkeer is. Kane-Box gebruikt daarvoor onder andere het principe van Bayesiaanse kansberekening, dat bijvoorbeeld ook voor het spamfilter van Gmail wordt gebruikt. Volgens Flowers werkt Kane-Box daardoor beter dan traditionele systemen.
Kane-Box kan volgens Flowers worden opgesteld tussen het internet en het interne netwerk. Door het systeem bijvoorbeeld een week te laten draaien, zou Kane-Box leren welk internetverkeer in dat specifieke netwerk bonafide en welk malafide is. Vervolgens kan met deze kennis worden voorkomen dat een indringer een verbinding met een pc in het netwerk opzet.
Het is overigens maar de vraag of het systeem volledig zonder regels werkt. Het zou volgens Flowers wel grofweg weten wat ongewenst internetverkeer is. Dit duidt erop dat er wel degelijk regels zijn voorgeprogrammeerd. Kane-Box kan via een console-interface en een web-interface worden bediend.
Flowers claimt dat het systeem veel goedkoper is dan traditionele netwerkbeveiligingsmethoden. Hij verwacht dat het kastje uiteindelijk tussen de 200 en 400 dollar zal kosten. Volgens Flowers kan het systeem opboksen tegen beveiligingssystemen van duizenden tot tienduizenden euro's.
Bovendien hoeft er geen kastje bij Flowers te worden aangeschaft. Elk systeem met twee netwerkkaarten en eventueel een draadloze interface zou geschikt zijn. Ook optioneel zijn twee usb-poorten, waarmee bijvoorbeeld usb-schijven en printers aan het netwerk kunnen worden gekoppeld.
De software kan gratis worden gedownload en is opensource. Volgens Flowers is er veel aandacht besteed aan het leesbaar maken van de applicatie, die is geschreven in de programmeertaal Lisp. Kane-Box draait op een embedded Linux-distributie. De tool kan ook in een virtual machine worden gebruikt.
Reacties (105)
als het opensource is, is het dan niet weer potentieel kwetsbaar voor mensen die er kwade bedoelingen mee hebben? 
Hoeft niet per se, mensen die goede intenties hebben kunnen natuurlijk ook de beveiligingslekken er utihalen bijv.
Idd,.. ware het niet dat vrijwel niemand zijn tijd besteed aan het zoeken naar security gaten puur om deze te fixen. Daarentegen zijn er genoeg mensen die er baat bij hebben en er geld mee kunnen verdienen door deze gaten te misbruiken. Ik geloof er persoonlijk ook helemaal niets van dat open-source zoveel veiliger zou zijn. Eerder het omgekeerde... het enige waarom je nu nog redelijk veilig zit is omdat vrijwel niemand het gebruikt en dus geen aantrekkelijk doel is.
[Reactie gewijzigd door HerrPino op donderdag 1 juli 2010 12:42]
waardoor er weer de mogelijkheid komt om geld te verdienen met het vinden en dichten van deze dingen. Da's net zoals bij Firefox etc. Iedereen heeft er baat bij dat bugs/leaks eruit worden gehaald, behalve diegenen die ze misbruiken (minderheidsgroep?)
Precies, wie gebruikt het internet nu nog tegenwoordig..Eerder het omgekeerde... het enige waarom je nu nog redelijk veilig zit is omdat vrijwel niemand het gebruikt en dus geen aantrekkelijk doel is.
Ik denk dat HerrPino doelde op de Kane-box en niet op het internet zelf.
Hij doelde op opensource software. En hieronder valt linux. En als je een beetje weet hoe het internet in elkaar zit, weet je dat vrijwel alle websites linux draaien.
dik de helft dus eigenlijk 
Misschien nog niet eens de helft:
Apache draait ook onder MS Windows (Server), dus Apache != Linux.
Apache draait ook onder MS Windows (Server), dus Apache != Linux.
Er word volgens mij ook nergens beweerd dat open source inherent veiliger is...
Alleen de manier waarop het geprogrammeerd word kan er wel voor zorgen dat DIE individuele manier, van het opstellen van het systeem en het beheren van het systeem door de software, inherent veilig is.
Maar zoals iedereen al, heb ik er ook genoeg van om steeds geluiden te horen (beide kanten op) over closed/open software en hun voor en NAdelen.
Het maakt toch niet uit dat het open-software is.
Daar kun je ZELF uit afleiden dat het in ieder geval word vertrouwd, door de makers, ervan als veilig om te showen.
Het programma kan zo geschreven zijn dat er inderdaad netwerk specifieke dingen aangeleerd worden en zo dus 99% veiligheid kan behalen (niet garanderen).
Alleen de manier waarop het geprogrammeerd word kan er wel voor zorgen dat DIE individuele manier, van het opstellen van het systeem en het beheren van het systeem door de software, inherent veilig is.
Maar zoals iedereen al, heb ik er ook genoeg van om steeds geluiden te horen (beide kanten op) over closed/open software en hun voor en NAdelen.
Het maakt toch niet uit dat het open-software is.
Daar kun je ZELF uit afleiden dat het in ieder geval word vertrouwd, door de makers, ervan als veilig om te showen.
Het programma kan zo geschreven zijn dat er inderdaad netwerk specifieke dingen aangeleerd worden en zo dus 99% veiligheid kan behalen (niet garanderen).
bron?
Helaas kan ik je vertellen dat 'security by obscurity' nog veel gebruikt wordt in (closed) software.
Helaas kan ik je vertellen dat 'security by obscurity' nog veel gebruikt wordt in (closed) software.
Ik denk dat Windows hier het grote voorbeeld van is; niet voor niets worden er maandelijks nog steeds meerdere patches uitgebracht om lekken te dichten. Als iemand met kennis van zaken de broncode van Windows zou hebben, zou deze waarschijnlijk met groot gemak nog een aantal lekken bloot kunnen leggen.
Bedenk je wel dat de broncode van Windows extreem groot is tov de vrij compacte Linux kernels. Dat is echt niet iets waar je in een weekje doorheen gelezen hebt.
Dat is geen echt argument; het echte argument is (als we het dan toch over open source hebben) dat de community velen malen groter is dan het aantal werknemers bij Microsoft. En 'twee paar ogen zien meer dan één', dus zullen fouten sneller eruit gehaald worden bij het product met de grotere werkgroep (Linux in dit geval).
Linux is echt niet compact te noemen. Veiligheid houd ook niet op bij de kernel, elke applicatie is een potentieel doelwit. Ik denk dat als je de grote van de broncode neemt van een gemiddelde distributie en dit vergelijkt met Windows dat je zult merken dat Linux meer broncode heeft.
Natuurlijk is elke applicatie een potentieel doelwit. Maar dat is bij elk besturings systeem zo.
Onder linux (en windows) is het niet mogelijk om via een applicatie code uit te voeren op het os zelf (met root / admin rechten). Wat concreet inhoud dat als er een lek in de webserver software zit ik niet bij de emails kan komen.
Onder linux (en windows) is het niet mogelijk om via een applicatie code uit te voeren op het os zelf (met root / admin rechten). Wat concreet inhoud dat als er een lek in de webserver software zit ik niet bij de emails kan komen.
Maar als je alle de broncode van alle windows applicaties die je hebt draaien daarbij optelt kom je denk ik ongeveer op hetzelfde uit.Ik denk dat als je de grote van de broncode neemt van een gemiddelde distributie en dit vergelijkt met Windows dat je zult merken dat Linux meer broncode heeft.
Dat is inderdaad de fout die iedereen maakt: Niet beseffen dat elke app die een verbinding met het netwerk opzet en een kwetsbaarheid bevat in principe je hele systeem kan compromiteren. Daarom is een opmerking als "Linux is veiliger dan Windows" ook complete onzin. Je kunt niet alleen een kleine subset vergelijken. Je moet twee volledig ingerichte systemen pakken en elke individuele applicatie die is geïnstalleerd analyseren. Een linux met een webserver er op die zo lek is als een mandje kan honderd keer onveiliger zijn dan een kale Windows met de Windows Firewall goed ingesteld.Veiligheid houd ook niet op bij de kernel
En zelfs als je dan, na uitgebreide analyse (die voor een simpel PC-tje waarschijnlijk al vele tienduizenden euros zou kosten en dan nog maar beperkte zekerheid zou geven) weet dat je systeem veilig is, dan kun je ook niet even een applicatie erbij installeren. Dan zou meteen die applicatie weer het hele systeem kunnen bedreigen en dus ook helemaal geanalyseerd moeten worden.
Je kunt dit wel redelijk dichtzetten als je de app heel goed installeert (draaiend onder een account met beperkte rechten e.d.) maar dat is geen sinecure en vereist specialistische kennis van zaken. Je bent zeker niet veilig gewoon omdat je besturingssysteem X of Y draait!
@ZeroSixZero:
Hmm dat komt niet omdat we het hebben over een OS dat op een oneindig aantal verschillende hardwareconfiguraties draait en dat dagelijks tienduizenden mensen proberen om Windows te hacken?
.
@RuuddieBoy:
Common misconception, de Windows Kernel is extreem klein, juist Linux gebruikt een ander kernel model dat wat groter is. Linux gebruikt een Monolithische kernel, waar nog steeds veel kritiek op is. zie http://en.wikipedia.org/wiki/Tanenbaum–Torvalds_debate en http://en.wikipedia.org/w...el-wide_design_approaches
Windows gebruikt een Hybrid kernel die dus kleiner is dan een monolitische kernel.
Hmm dat komt niet omdat we het hebben over een OS dat op een oneindig aantal verschillende hardwareconfiguraties draait en dat dagelijks tienduizenden mensen proberen om Windows te hacken?
.@RuuddieBoy:
Common misconception, de Windows Kernel is extreem klein, juist Linux gebruikt een ander kernel model dat wat groter is. Linux gebruikt een Monolithische kernel, waar nog steeds veel kritiek op is. zie http://en.wikipedia.org/wiki/Tanenbaum–Torvalds_debate en http://en.wikipedia.org/w...el-wide_design_approaches
Windows gebruikt een Hybrid kernel die dus kleiner is dan een monolitische kernel.
nu zou je kunnen zeggen dat programmeren in LISP een vorm is van security by obscurity
Als je Lots of Irritating Silly Parentheses al obscuur vindt, dan ken je APL nog niet. Dat is m.i. de eerste echte write-only taal.
(Van de normale talen dan natuurlijk he? Dus even afgezien van BrainFuck grappen ed.)
(Van de normale talen dan natuurlijk he? Dus even afgezien van BrainFuck grappen ed.)
In het kader van open source moet ik bekennen nog nooit een virus op mijn linuxbak gehad te hebben! dus het heeft zeker voordelen!
Ik kan natuurlijk ingaan op het feit dat een licentie-concept niks te maken heeft de uiteindelijke veiligheid van een product, laat staan met een persoonlijk 'geloof' er in.Ik geloof er persoonlijk ook helemaal niets van dat open-source zoveel veiliger zou zijn
Dit specifieke geval is dus geen geloofskwestie, maar gewoon een gevalletje van simpele feiten en historically proven track-records.
En om dan zo'n simpel feit uit de open-source security port-folio te noemen: OpenBSD.
En dan voortaan je mond houden als je weer eens van plan bent om geloof aan te halen in een technologie-forum.
[Reactie gewijzigd door tofus op donderdag 1 juli 2010 14:08]
Ik kan je vertellen dat er veel security mensen zijn die hobby matig dit soort systemen proberen te slopen en de resultaten hiervan terugkoppelen aan de developper die het vervolgens kan fixen. Voor de 1 is gamen een hobby, voor de ander programmeren, en voor weer een ander security van systemen
De oogst van nieuwe malware in 2009
==================================
Windows 1200.000
Apple 16
Unix-achtigen 55
==================================
http://www.security.nl/ar...OS_X_ontdekt_in_2009.html
==================================
Windows 1200.000
Apple 16
Unix-achtigen 55
==================================
http://www.security.nl/ar...OS_X_ontdekt_in_2009.html
Uhm wat je zegt is niet helemaal waar, in veel gevallen zijn er wel degelijk veel Whitehats die dingen opzoeken en fixen of insturen. Neem bijvoorbeeld Wine daar is echt supersnel een enorme vooruitgang. In sommige gevallen doen mensen het voor de eer (er is een ranglijst voor (zowel off- als on the record) en soms krijg je er ook een vergoeding voor!
Er zijn overigens ook bedrijven die dingen testen op lekken! (zo schijnt Redhat het bedrijf te zijn, met de meeste super computers die allemaal in clouds staan en elkaar contant aanvallen en verdedigen ook IBM schijnt dit te hebben maar of dit waar is?)
Eigenlijk zijn het vooral White en Gray hats die in de meerderheid zijn en een blackhat is niet altijd een gevaar! Dat zijn vaak de crackers en scriptkiddies!
Er zijn overigens ook bedrijven die dingen testen op lekken! (zo schijnt Redhat het bedrijf te zijn, met de meeste super computers die allemaal in clouds staan en elkaar contant aanvallen en verdedigen ook IBM schijnt dit te hebben maar of dit waar is?)
Eigenlijk zijn het vooral White en Gray hats die in de meerderheid zijn en een blackhat is niet altijd een gevaar! Dat zijn vaak de crackers en scriptkiddies!
Idd,.. ware het niet dat vrijwel niemand zijn tijd besteed aan het zoeken naar security gaten puur om deze te fixen.
Euh, jawel, er zijn hele hordes mensen die daarvan hun beroep gemaakt hebben. Beveiligingsexperts, academici, liefhebbers; Ik bedoel: heb je het artikel gelezen? En dat ze het hebben over een conferentie genaamd Hack in the Box? Daar loopt het vol van zulke mensen.
Ik geloof er persoonlijk ook helemaal niets van dat open-source zoveel veiliger zou zijn. Eerder het omgekeerde... het enige waarom je nu nog redelijk veilig zit is omdat vrijwel niemand het gebruikt en dus geen aantrekkelijk doel is.
Ja, want Apache bvb wordt niet zo veel gebruikt en is dus niet aantrekkelijk zeker. Dream on. Security through obscurity werkt niet, en zal nooit werken. Er zijn heel wat high profile producten die open source zijn, populair zijn, en toch heel veilig blijken. Doordat de source open is wordt het niet inherent onveiliger omdat slechten kunnen meekijken. Veiligheid komt er door een goed fundament te bouwen waarbij security van het begin is meegenomen in het ontwerp^; Veiligheid komt niet door alles in een black box te stoppen en dan maar te hopen dat er niets misgaat.
Euh, jawel, er zijn hele hordes mensen die daarvan hun beroep gemaakt hebben. Beveiligingsexperts, academici, liefhebbers; Ik bedoel: heb je het artikel gelezen? En dat ze het hebben over een conferentie genaamd Hack in the Box? Daar loopt het vol van zulke mensen.
Ik geloof er persoonlijk ook helemaal niets van dat open-source zoveel veiliger zou zijn. Eerder het omgekeerde... het enige waarom je nu nog redelijk veilig zit is omdat vrijwel niemand het gebruikt en dus geen aantrekkelijk doel is.
Ja, want Apache bvb wordt niet zo veel gebruikt en is dus niet aantrekkelijk zeker. Dream on. Security through obscurity werkt niet, en zal nooit werken. Er zijn heel wat high profile producten die open source zijn, populair zijn, en toch heel veilig blijken. Doordat de source open is wordt het niet inherent onveiliger omdat slechten kunnen meekijken. Veiligheid komt er door een goed fundament te bouwen waarbij security van het begin is meegenomen in het ontwerp^; Veiligheid komt niet door alles in een black box te stoppen en dan maar te hopen dat er niets misgaat.
Een collega van mij is student informatica en die pakt voor zijn master Computer Security of CV regelmatig open source software, zoekt er lekken in, meldt ze en claimt ze. Dat kan niet zo makkelijk met closed source software.
Uiteindelijk wordt hij er beter van, want hij leert en vult zijn CV aan. Aan de andere kant is er weer een veiligheidslek uit open source software.
Uiteindelijk wordt hij er beter van, want hij leert en vult zijn CV aan. Aan de andere kant is er weer een veiligheidslek uit open source software.
je geeft het antwoord zelf dus al, hoeft niet maar kan wel, dus JA
en dat is zo met alle open-source, dus lang leve closed-source waar je zelfs geen code of commentaar van te zien krijgt, want door het compilen is die "verloren"
en dat is zo met alle open-source, dus lang leve closed-source waar je zelfs geen code of commentaar van te zien krijgt, want door het compilen is die "verloren"
Wat is verloren? Als je gebruikt maar van een HLL zoals Java of C# kan je de broncode prima terughalen (inclusief comments). Zelfs diverse obfuscators die dit 'versleutelen' zijn gekraakt. Talen die wat lager zitten (C/C++) compileren rechtstreeks naar machinetaal, wat een stuk lastiger te achterhalen is. Maar verre van onmogelijk.
Eindeloze stomme discussie tussen closed source en open source. Is het anderzijds niet slim dat de fouten snel gevonden kunnen worden in een open-source pakket? Tja, security through obscurity is natuurlijk niet het antwoord, dus wat denk je dat dan beter is?als het opensource is, is het dan niet weer potentieel kwetsbaar voor mensen die er kwade bedoelingen mee hebben?
Waar ik me meer zorgen over maak is het feit dat het ding zelf gaat bepalen wat wel of niet goed is. Dat betekent dus dat 'one of these days' torrent verkeer stopt omdat het 'ongewenst' is. Vervolgens gaat het je een hoop tijd kosten om te troubleshooten, kom je uiteindelijk bij je kane-box uit en moet je hem vertellen dat het wel goed verkeer is?
Ik vraag me dus af hoe ze false positives gaan voorkomen.[Reactie gewijzigd door Incr.Badeend op donderdag 1 juli 2010 12:15]
Er zal wel een 'leer'-periode aan vooraf gaan die dat moet voorkomen op termijn...
Firewalls blokkeren ook voor hun onbekende- of onregelmatig gebruikte applicaties en vragen aan de gebruiker wat er mee te doen. Het lijkt me dat dit systeem dat ook zal kunnen.
Het grootste probleem bij beveiliging zijn gebruikers die niet updaten. Dus bij open source kan een lek sneller gevonden worden en kan het sneller gemeld worden, maar daarom zijn je klanten er nog niet tegen beveiligd.
zou kunnen maar ik ben meer van mening: als ze echt willen komen ze er in, wat je ook gebruikt.
weet niet hoor, maar 80% van alle webserver in de wereld draaien op opensource software...
Als het closed source is is het niet anders hoor, alleen is het dan zo dat je als eindgebruiker bent overgeleverd aan de grillen van een bedrijf dat misschien het door jouw gevonden lek niet als belangrijk genoeg ziet of pas in een volgende versie over 3 maanden eens wil oplossen dan wel een flinke berg geld wil zien om de oplossing te leveren. Het grote voordeel van open source is dat als het probleem voor jouw groot genoeg is jij het opgelost kan krijgen door het zelf in orde te maken dan wel door iemand te betalen die het voor jouw oplost op het moment dat jij vind dat je het nodig hebt.
En dat kan voor veel bedrijven echt heel erg belangrijk zijn. Heb je ooit als eens een fout in een driver gevonden die alleen in zeer specifieke gevallen tot problemen leid? Als je dat gebeurt en je merkt dat de nieuwe server die een webservice host die wereld wijd door duizenden bedrijven gebruikt wordt om de een of andere reden 99% van de packets van een aantal subnets uit Amerika dropt dan kon dat nog wel eens heel erg belangrijk zijn om het NU opgelost te krijgen.. bijvoorbeeld. Even een nieuwe machine bouwen waar al snel een paar maanden werk in gaat zitten is geen optie (grote databases die geen outage mogen hebben kun je niet zo maar verhuizen naar een andere machine). Als je dan een zak geld op tafel kunt gooien en het probleem lost direct op dan maakt de grote van die zak veel al weinig meer uit zo lang het maar minder is dan de schade die je oploopt als de service nog een paar dagen niet werkt en het maar sneller oplost dan de tijd die jij nodig hebt om een totaal nieuw systeem te bouwen. (Er zat een error in de subnet berekeningen voor de gebruikte netwerk kaart, het koste HP 2 weken om het probleem te reproduceren, op te lossen en een nieuwe driver uit te brengen. Als het een open source driver was geweest dan had het bedrijf zelf ook kunnen zoeken naar een oplossing en misschien wel sneller een werkbare oplossing gevonden... dat had best aardig wat geld kunnen schelen.
De kaarten in kwestie waren uitzonderlijke kaarten die alleen in zeer specifieke systemen gebruikt werden, een dual ports netwerk kaart in een low profile PA-RISC kast omdat er niet genoeg ruimte was om op een andere voldoende netwerk kaarten in deze kast te krijgen... voor zo ver ik weet zijn er maar drie machines met zo'n setup in gebruik voor een wereldwijde service en kon het probleem alleen op treden als de server zich in een zeer beperkt aantal subnets bevond en dan alleen voor 1 a 2 subnets... al die toevalligheden moesten samen komen om het probleem aan het licht te brengen.
Open source is lang niet altijd een goede oplossing maar zeker als er veel op het spel staat en er een redelijke community en dus kennis is van het product dan kan het in veel gevallen een groot probleem voor een marginale groep een heleboel sneller oplossen. In dit geval had het bedrijf het "geluk" dat HP zelf nog al wat hinder ondervond van deze bug waardoor het probleem net even wat voortvarender aangepakt werd dan het geval zou zijn als dit bijvoorbeeld een consumenten of MKB probleem was geweest. In dat soort gevallen is open source echt een uitkomst.
En dat kan voor veel bedrijven echt heel erg belangrijk zijn. Heb je ooit als eens een fout in een driver gevonden die alleen in zeer specifieke gevallen tot problemen leid? Als je dat gebeurt en je merkt dat de nieuwe server die een webservice host die wereld wijd door duizenden bedrijven gebruikt wordt om de een of andere reden 99% van de packets van een aantal subnets uit Amerika dropt dan kon dat nog wel eens heel erg belangrijk zijn om het NU opgelost te krijgen.. bijvoorbeeld. Even een nieuwe machine bouwen waar al snel een paar maanden werk in gaat zitten is geen optie (grote databases die geen outage mogen hebben kun je niet zo maar verhuizen naar een andere machine). Als je dan een zak geld op tafel kunt gooien en het probleem lost direct op dan maakt de grote van die zak veel al weinig meer uit zo lang het maar minder is dan de schade die je oploopt als de service nog een paar dagen niet werkt en het maar sneller oplost dan de tijd die jij nodig hebt om een totaal nieuw systeem te bouwen. (Er zat een error in de subnet berekeningen voor de gebruikte netwerk kaart, het koste HP 2 weken om het probleem te reproduceren, op te lossen en een nieuwe driver uit te brengen. Als het een open source driver was geweest dan had het bedrijf zelf ook kunnen zoeken naar een oplossing en misschien wel sneller een werkbare oplossing gevonden... dat had best aardig wat geld kunnen schelen.
De kaarten in kwestie waren uitzonderlijke kaarten die alleen in zeer specifieke systemen gebruikt werden, een dual ports netwerk kaart in een low profile PA-RISC kast omdat er niet genoeg ruimte was om op een andere voldoende netwerk kaarten in deze kast te krijgen... voor zo ver ik weet zijn er maar drie machines met zo'n setup in gebruik voor een wereldwijde service en kon het probleem alleen op treden als de server zich in een zeer beperkt aantal subnets bevond en dan alleen voor 1 a 2 subnets... al die toevalligheden moesten samen komen om het probleem aan het licht te brengen.
Open source is lang niet altijd een goede oplossing maar zeker als er veel op het spel staat en er een redelijke community en dus kennis is van het product dan kan het in veel gevallen een groot probleem voor een marginale groep een heleboel sneller oplossen. In dit geval had het bedrijf het "geluk" dat HP zelf nog al wat hinder ondervond van deze bug waardoor het probleem net even wat voortvarender aangepakt werd dan het geval zou zijn als dit bijvoorbeeld een consumenten of MKB probleem was geweest. In dat soort gevallen is open source echt een uitkomst.
Jij werkt bij microsoft zeker?
Opensource is bewezen veel veiliger dan closed source juist omdat er meer als een paar man per module aan werken en dus niet het onzin heeft van slecht programmatuur. En als iets in het open source slecht geschreven wordt zijn er nog een aardig wat mensen die het willen en kunnen verbeteren
Opensource is bewezen veel veiliger dan closed source juist omdat er meer als een paar man per module aan werken en dus niet het onzin heeft van slecht programmatuur. En als iets in het open source slecht geschreven wordt zijn er nog een aardig wat mensen die het willen en kunnen verbeteren
Er is nooit bewezen dat OSS veiliger is dan closed source. Het heeft zijn voordelen, maar ok zijn nadelen. Het is onmogelijk een vergelijking te maken tussen de 2
dat is closed source ook.
Bij open source heb je tenminste de mogelijkheid om het in te zien en aan te passen.
Bij open source heb je tenminste de mogelijkheid om het in te zien en aan te passen.
Dus hebben kwaadwillende ook die mogelijkheid.
Ik kan een slot voor een kluis ontwerpen en zolang jij niet weet hoe het van binnen werkt is het knap lastig om het te openen. Nadat ik jou de ontwerptekeningen heb gestuurd is het waarschijnlijk al een stuk eenvoudiger.
Ik kan een slot voor een kluis ontwerpen en zolang jij niet weet hoe het van binnen werkt is het knap lastig om het te openen. Nadat ik jou de ontwerptekeningen heb gestuurd is het waarschijnlijk al een stuk eenvoudiger.
Dus koop je zelf zo'n kluis, zaagt 'm open en dan weet je hoe het ontwerp in elkaar zit. Ik zou van m'n leven nooit m'n spullen in een kluis bewaren die schijnbaar zo'n slecht ontwerp heeft dat het kennen van het ontwerp je helpt bij het openbreken. Beveiliging is pas goed als ook het kennen van het ontwerp je niet helpt met het kraken. Dat is voor kluizen zo, maar dat is voor software nog veel meer zo.
Niet noodzakelijk. Hoe komt het dan bijvoorbeeld dat er voor Apache minder veiligheidsgaten zijn dan voor IIS terwijl Apache toch OSS is EN meer gebruikt word dan ISS?
Als er iets is bewezen de laatste jaren, dan is dat wel dat closed source absoluut niet veiliger is dan elk ander alternatief.
Het feit dat jij weet hoe een programma werkt, betekent niet dat je het makkelijker kan hacken als je daar ook de source bij hebt. Het is ook algemeen bekend hoe closed source UTM devices werken. Het gaat bij het vinden van zwakheden vaak niet om de code, maar om de architectuur van de software. Die kun je bij closed source ook gewoon achterhalen.
Het feit dat jij weet hoe een programma werkt, betekent niet dat je het makkelijker kan hacken als je daar ook de source bij hebt. Het is ook algemeen bekend hoe closed source UTM devices werken. Het gaat bij het vinden van zwakheden vaak niet om de code, maar om de architectuur van de software. Die kun je bij closed source ook gewoon achterhalen.
De tijd heeft bewezen dat dit niet klopt.
Wat wel zo is dat veel gebruikte opensource software veel sneller gefixed wordt dan bijvoorbeeld Microsoft code.
Binnen OSS bestaat geen Patch Tuesday.
En er bestaat geen commerciële reden om iets niet de fixen.
Een ander voordeel is dat iedereen mee kan ontwikkelen/verbeteren direct of via patches aanleveren. Dit is niet mogelijk bij een gesloten commercieel project.
Erg jammer dat binnen de IT zo weinig kennis van OSS is, waardoor er verkeerde aannames gemaakt worden.
Wat wel zo is dat veel gebruikte opensource software veel sneller gefixed wordt dan bijvoorbeeld Microsoft code.
Binnen OSS bestaat geen Patch Tuesday.
En er bestaat geen commerciële reden om iets niet de fixen.
Een ander voordeel is dat iedereen mee kan ontwikkelen/verbeteren direct of via patches aanleveren. Dit is niet mogelijk bij een gesloten commercieel project.
Erg jammer dat binnen de IT zo weinig kennis van OSS is, waardoor er verkeerde aannames gemaakt worden.
[Reactie gewijzigd door worldcitizen op donderdag 1 juli 2010 14:22]
Zo'n aanname bedoel je?En er bestaat geen commerciële reden om iets niet de fixen.
OSS = niet per definitie gratis en dus niet per definitie losgekoppeld van commerciele belangen.
Dus iets niet fixen kan wel degelijk een commerciele reden hebben.
Security through obscurity is geen security, maar een waanbeeld van closed-source programmeurs die denken dat als niemand achter de schermen kan kijken er ook niemand hun programma's kan kraken..
Helaas zitten ze er altijd naast en blijkt open source een stuk veiliger te zijn om dat meer mensen controles kunnen uitvoeren.
Helaas zitten ze er altijd naast en blijkt open source een stuk veiliger te zijn om dat meer mensen controles kunnen uitvoeren.
Nee, want de veiligheid hoort in het algoritme zelf te zitten, niet in de geheimhouding van het algoritme.
Ik krijg het idee dat als hij 'leert' wat goed en slecht is, in het begin dus dingen doorlaat omdat hij niet weet dat het slecht is. Ook dingen die nieuw slecht zijn, die niet in z'n 'instap-week' voorbij kwamen.
Dat is niet helemaal waar:
"Het zou volgens Flowers wel grofweg weten weten wat ongewenst internetverkeer is. Dit duidt erop dat er wel degelijk regels zijn voorgeprogrammeerd."
Persoonlijk vind ik het systeem wat Google voor zijn Gmail spamfilter gebruikt erg prettig werken en zie ik veel potentie in het principe van dit beveiligingssysteem.
"Het zou volgens Flowers wel grofweg weten weten wat ongewenst internetverkeer is. Dit duidt erop dat er wel degelijk regels zijn voorgeprogrammeerd."
Persoonlijk vind ik het systeem wat Google voor zijn Gmail spamfilter gebruikt erg prettig werken en zie ik veel potentie in het principe van dit beveiligingssysteem.
Er is een groot verschil tussen bayesian learning voor iets zoals SPAM.
SPAM is tekst en de filters werken met logische verhoudingen zoals tekst/HTML/embedded images en patronen.
Voor netwerkverkeer is dat héél wat moeilijker.
Ik zie dat moeilijk effectief werken op alle niveau's.
Tenzij als dit een gedistribueerd systeem zijn zou welke updates van alles users terug onder alle users verdeeld.
Maar dan nog ...
Het zal wellicht wel effectief zijn voor protocol enforcement.
Een niet-HTTP connectie op port 80 zal wellicht wel als abormaal gezien worden.
Ook het blackbox gevoel is iets wat je in security absoluut niet wil.
Je wilt exact weten wat er wel en niet gefiltered wordt, en dat ten allen tijde.
Dit kan je helemaal niet bij dit toestel.
* Predator is absoluut niet overtuigd
SPAM is tekst en de filters werken met logische verhoudingen zoals tekst/HTML/embedded images en patronen.
Voor netwerkverkeer is dat héél wat moeilijker.
Ik zie dat moeilijk effectief werken op alle niveau's.
Tenzij als dit een gedistribueerd systeem zijn zou welke updates van alles users terug onder alle users verdeeld.
Maar dan nog ...
Het zal wellicht wel effectief zijn voor protocol enforcement.
Een niet-HTTP connectie op port 80 zal wellicht wel als abormaal gezien worden.
Ook het blackbox gevoel is iets wat je in security absoluut niet wil.
Je wilt exact weten wat er wel en niet gefiltered wordt, en dat ten allen tijde.
Dit kan je helemaal niet bij dit toestel.
* Predator is absoluut niet overtuigd
En is deze site geen text, met logische verhoudingen? Als je dat kan toepassen op emails, kan je (natuurlijk met andere filters ed) ook wel sites "scannen" hoor..
En waar lees je dat je niet kan zien wat er wel of niet gefilterd wordt? Ik ben het volledig met je eens dat je dit ten alle tijden wil weten, maar ik lees in dit artikel nergens dat je dat niet kan met deze software. Kan er natuurlijk ook 2x overheen gelezen hebben
. Het heeft een web/console interface.. lijkt me stug dat je hier nergens kan zien wat dat ding allemaal filterd en wat niet. Als het een firewall is zie je waarschijnlijk al het traffic.
En waar lees je dat je niet kan zien wat er wel of niet gefilterd wordt? Ik ben het volledig met je eens dat je dit ten alle tijden wil weten, maar ik lees in dit artikel nergens dat je dat niet kan met deze software. Kan er natuurlijk ook 2x overheen gelezen hebben
. Het heeft een web/console interface.. lijkt me stug dat je hier nergens kan zien wat dat ding allemaal filterd en wat niet. Als het een firewall is zie je waarschijnlijk al het traffic.
Alleen dat netwerkverkeer wel meer is dan alleen mail en websites.
En waarschijnlijk heeft een log functie, maar meestal is het toch niet praktisch om alles te loggen. Zo word er vaak geblockte traffic niet gelogged omdat het normaal gezien toch geen kwaad meer kan doen.
En zoals Predator het zegt, in security wil je graag volledige controle over wat er gefilterd wordt en wat niet. En met bv iptables heb je daar tot in de puntjes de controle over. Je wil namelijk voor onder andere een nieuwe exploit nog steeds snel een rule toevoegen totdat er een patch geschreven is.
Ik vrees ervoor dat je hier gewoon het overzicht snel verliest over wat en wat niet gefilterd gaat worden, ook al leert het ding zeer goed.
En waarschijnlijk heeft een log functie, maar meestal is het toch niet praktisch om alles te loggen. Zo word er vaak geblockte traffic niet gelogged omdat het normaal gezien toch geen kwaad meer kan doen.
En zoals Predator het zegt, in security wil je graag volledige controle over wat er gefilterd wordt en wat niet. En met bv iptables heb je daar tot in de puntjes de controle over. Je wil namelijk voor onder andere een nieuwe exploit nog steeds snel een rule toevoegen totdat er een patch geschreven is.
Ik vrees ervoor dat je hier gewoon het overzicht snel verliest over wat en wat niet gefilterd gaat worden, ook al leert het ding zeer goed.
Ik zie geen enkel probleem om netwerkverkeer als tekst af te beelden en SPAM filters erop los te laten. Neem tcpdump/wireshark en je bent ongeveer zover.
En als die box 1 week draait en alleen maar HTTP op poort 80 ziet met 'normale' URLs en dan ineens 1 URL met veel 'escaped´ karakters dan zal die wel afgaan (code-red)
of een POST waarbij het username veld naast ASCII ineens een '*' bevat (sql injection etc.). Genoeg mogelijkheden en de grap is dat het zelflerend is en je dus niet met je standaard scriptkiddie hacks bij iedereen naar binnen fietst (ene bedrijf wel de andere niet op basis van wat normaal verkeer is).
Ik zie een grote toekomst voor dit soort systemen naar pure firewalls.
En als die box 1 week draait en alleen maar HTTP op poort 80 ziet met 'normale' URLs en dan ineens 1 URL met veel 'escaped´ karakters dan zal die wel afgaan (code-red)
of een POST waarbij het username veld naast ASCII ineens een '*' bevat (sql injection etc.). Genoeg mogelijkheden en de grap is dat het zelflerend is en je dus niet met je standaard scriptkiddie hacks bij iedereen naar binnen fietst (ene bedrijf wel de andere niet op basis van wat normaal verkeer is).
Ik zie een grote toekomst voor dit soort systemen naar pure firewalls.
volgens mij is het de bedoeling dat zo'n toestel eerst een tijdje in een netwerk wordt geplaatst en enkel maar observeert.
Nadien wanneer de leerfase voldoende is, kan het toestel actief in gebruik genomen worden
Nadien wanneer de leerfase voldoende is, kan het toestel actief in gebruik genomen worden
De site is nog plat. Er is namelijk geen site geupload op de server
Of je wordt beschouwd als ongewenst verkeer ;-)
OT: Ziet er netjes uit, maar tests zullen in de toekomst uitwijzen of zijn 'product' een kans op slagen heeft.
Opensource kan je namelijk ook voor enkele honderden euro's een degelijke beveiliging opzetten MET regels.
Misschien dat een mix van de twee de ideale situatie is ?
OT: Ziet er netjes uit, maar tests zullen in de toekomst uitwijzen of zijn 'product' een kans op slagen heeft.
Opensource kan je namelijk ook voor enkele honderden euro's een degelijke beveiliging opzetten MET regels.
Misschien dat een mix van de twee de ideale situatie is ?
Interessant. Jammer dat zijn site niet meer online is, zal vermoedelijk wel gehackt zijn 
Mooie link naar de source....
Geen kastje nodig, maar wel een embedded linux distro????Welcome
You see this page because there is no Web site at this address.
What you can do:
* Create domains and set up Web hosting using Parallels Plesk Control Panel.
Goedkope All-In-One oplossing zie ik zo. Open Source dus met de Firmware en stabiliteit moet het ook goed komen. 
Zit hier met een 5 jaar oude WRT54G van Linksys...
Zit hier met een 5 jaar oude WRT54G van Linksys...
De klonen van OpenWRT kunnen ook op modernere systemen geflashed worden hoor, dus je moet niet bij oude routers blijven als dat de reden is.
Zelf al overgeschakeld op een Linksys 610N met DD-WRT ipv die goeie ouwe WRT54GL.
Zelf al overgeschakeld op een Linksys 610N met DD-WRT ipv die goeie ouwe WRT54GL.
Ik weet het niet. Als er op basis van kansen wordt bepaald of er wel of niet een verbinding gemaakt mag worden, kun je net zo goed een muntje opgooien..
Als het gebasseerd is op hetzelfde idee als het spamfilter van Google is het prima! Ik krijg vrijwel geen spam in mijn GMail
Ja, maar het verschil is dat je het niet kunt permiteren om firewalls volgens een bepaald patroon te laten werken. Ik configureer als beheerder wat wel en niet in de corporate omgeving mag komen wat door beleid wordt bepaald, niet volgens een bepaald algoritme.
In jouw geval kun je een spam mail krijgen, in ons geval een fiasco.
In jouw geval kun je een spam mail krijgen, in ons geval een fiasco.
Vergis je niet in de slimmigheid van dit ding, jij zult een poort open houden voor verschillende applicaties, deze box doet dat natuurlijk ook, maar kijkt hij ook nog eens naar wat voor soort traffic er over die poort gaat en blokkeert het als dat niet overeenkomt met normaal verkeer voor die poort.
Dat is een absurde redenering, kans rekenen is een uitgebreid vak dat enorm veel wordt gebruikt.
Wat zijn onze kansen voor winst met deze marketing campagne?, Pokeren, artificiële intelligentie, enz...
een munt gooien is altijd 50% kans op verlies, in de werkelijkheid zijn er weinig gevallen die zo binair zijn.
Wat zijn onze kansen voor winst met deze marketing campagne?, Pokeren, artificiële intelligentie, enz...
een munt gooien is altijd 50% kans op verlies, in de werkelijkheid zijn er weinig gevallen die zo binair zijn.
Het is een OS/applicatie en een hardwarebox. Sweet.
Goed dat de software free is en voor de box je waarschijnlijk enkel de hardware moet betalen.
Goed dat de software free is en voor de box je waarschijnlijk enkel de hardware moet betalen.
Inderdaad, een ouwe pc volstaat. Uit het artikel:
Bovendien hoeft er geen kastje bij Flowers te worden aangeschaft. Elk systeem met twee netwerkkaarten en eventueel een draadloze interface zou geschikt zijn.
Site werkt wel zonder www ervoor
[Reactie gewijzigd door maap op donderdag 1 juli 2010 12:14]
Dat is vrij normaal hoor, dat we om vage redenen altijd www. willen gebruiken wat niks anders is als een subdomein... Nu is het meestal wel verstandig om beide te ondersteunen (doordat men zo gewend is www. te gebruiken) en die naar 1 van de 2 door te sturen (zodat Google ook maar 1 domein ziet anders staat dezelfde content 2x op internet = minder waard).
Anyway een domein bevat maar 1 punt en dat is die tussen de gekozen naam en extentie!
Anyway een domein bevat maar 1 punt en dat is die tussen de gekozen naam en extentie!
Dat de meeste mensen een domeinnaam associëren met een website, betekent natuurlijk niet dat dit zo is. Een domeinnaam hoeft namelijk helemaal niet naar een website te verwijzen.
De WWW prefix betekent simpelweg dat er een Web Server op dat adres draait, en dat je op dat adres dus de website kan bereiken. Zo kan logon.example.com bijvoorbeeld naar een logon server verwijzen, en als je daar in een web browser naartoe gaat zal je geen webpagina krijgen.
Zo "vaag" is het dus niet dat we meestal WWW gebruiken om naar een website te gaan.
De WWW prefix betekent simpelweg dat er een Web Server op dat adres draait, en dat je op dat adres dus de website kan bereiken. Zo kan logon.example.com bijvoorbeeld naar een logon server verwijzen, en als je daar in een web browser naartoe gaat zal je geen webpagina krijgen.
Zo "vaag" is het dus niet dat we meestal WWW gebruiken om naar een website te gaan.
[Reactie gewijzigd door Accesteam op donderdag 1 juli 2010 12:36]
Ach, gebruik dan gewoon de protocol aanduiding in combinatie met SRV records in DNS, dan hebben die dingen ook nog eens nut. Ze worden nu eigenlijk alleen actief voor b.v. SIP, Kerberos, LDAP en XMPP gebruikt.
sip://site.nl
http://site.nl
vnc://site.nl
rdp://site.nl
En dan in de DNS iets van:
_sip._udp SRV 0 5060 sipserver.site.nl.
Maar goed, dit is offtopic..
sip://site.nl
http://site.nl
vnc://site.nl
rdp://site.nl
En dan in de DNS iets van:
_sip._udp SRV 0 5060 sipserver.site.nl.
Maar goed, dit is offtopic..
Het komt ook genoeg voor dat een site het enkel doet met www. ervoor. Watercoolertje, no offence, waarom wil je altijd mensen bashen als je de kans krijgt, helemaal offtopic?
zelf ook lekker offtopic
zelf ook lekker offtopic
Formeel gezien zit er ook nog een punt op het eind.
Hmmm...
En dan zou je software van een hacker moeten installeren om ervoor te zorgen dat er geen ongewenst internetverkeer op je netwerk komt...
[Edit]
Excuus leefde nog in de middeleeuwen...
En dan zou je software van een hacker moeten installeren om ervoor te zorgen dat er geen ongewenst internetverkeer op je netwerk komt...
[Edit]
Excuus leefde nog in de middeleeuwen...
[Reactie gewijzigd door Geertje op donderdag 1 juli 2010 12:27]
Lees je eens in over de diverse type's hackers?
Als jij het liever van een cracker installeert prima, een hacker is niks anders als iemand die wilt helpen... Zoek maar is op wat de echte definitie is!
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Apple Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
