SP: regering moet Microsoft ter verantwoording roepen om lekken
De fractie van de SP in de Tweede Kamer wil dat de regering Microsoft ter verantwoording roept over lekken in Windows. Dat blijkt uit Kamervragen die SP-Kamerlid Gesthuizen stelt naar aanleiding van berichtgeving op Tweakers.net.
Het SP-Kamerlid wil dat de regering richtlijnen uitvaardigt om kritieke lekken in besturingssystemen als Windows en software als Microsoft Word te voorkomen. Sharon Gesthuizen zegt zich wel ervan bewust te zijn dat software altijd lekken kan bevatten. "Het is hoog tijd dat softwarefabrikanten maatregelen nemen om te voorkomen dat vanuit software applicaties zoals Word, elementaire onderdelen van het besturingssysteem tegen de wil van de gebruiker gemanipuleerd kunnen worden", aldus het Kamerlid tegen Tweakers.net.
Met lek in Word verwijst Gesthuizen naar de malware Duqu, waarmee onbekenden hebben gespioneerd op bedrijven in Nederland. Daarbij ging het hoogstwaarschijnlijk om een toeleverancier van het leger, onthulde Tweakers.net vrijdag. Duqu is een variant op Stuxnet, het virus waarmee in Iran computers in kerncentrales zijn besmet. Stuxnet staat bekend als de meest geavanceerde malware die ooit is gemaakt.
Gesthuizen wil van de verantwoordelijk minister weten of Duqu veel impact heeft gehad in Nederland, of het uitgesloten is dat Duqu gericht is op bijvoorbeeld Nederlandse nutsbedrijven of militaire installaties en wie de trojan heeft gemaakt. Gesthuizen zal de vragen waarschijnlijk dinsdag tijdens het vragenuurtje gaan stellen.
Duqu maakt gebruik van een lek in Windows, dat werkt via het renderen van TrueType-fonts in tekstverwerker Word. Het lek stelt een aanvaller in staat code op kernel-niveau uit te voeren. De kwetsbaarheid kan waarschijnlijk ook in andere programma’s dan Word worden misbruikt; mogelijk zelfs op websites. Het is niet duidelijk of de Word-methode ook in andere gevallen is toegepast. De Windows Server-versie zonder gui is niet getroffen door het beveiligingsprobleem, omdat die geen fonts hoeft te parsen.
Reacties (163)
Het wordt tijd dat Windows ook met een soort Sandbox komt waarbij je de rechten kan bepalen per applicatie. Waarom zou Word toegang moeten hebben tot het volledige systeem? Internet en schrijfrechten is voldoende lijkt mij...
Ot: Beetje naief is het wel van deze SP Juf, exploits zitten zoals ze zegt wel vaker in software. Je kan als overheid jezelf beter afvragen of je cruciale systemen wel Windows moeten laten draaien of toegang tot het internet / usb moet geven.
Ot: Beetje naief is het wel van deze SP Juf, exploits zitten zoals ze zegt wel vaker in software. Je kan als overheid jezelf beter afvragen of je cruciale systemen wel Windows moeten laten draaien of toegang tot het internet / usb moet geven.
[Reactie gewijzigd door poepkop op zaterdag 5 november 2011 11:40]
Word heeft geen toegang tot het hele systeem: het was een exploit.
Belachelijk overigens. Net alsof software fabrikanten hier niks om geven. En wat gaat de regering dan doen, zeggen "nou microsoft, jullie mogen geen bugs meer in je software hebben!" ... "Oh, meverouw Gesthuizen, wat slim! Daar hebben we nou nog nooit aan gedacht! We stoppen per direct met het maken van fouten."
Ach, windows is ook maar iets van 50 miljoen regels code, zo'n 900.000 paginas geprint. Misschien kunnen ze er een stagiaire opzetten van de winter om de fouten eruit te vissen.
Belachelijk overigens. Net alsof software fabrikanten hier niks om geven. En wat gaat de regering dan doen, zeggen "nou microsoft, jullie mogen geen bugs meer in je software hebben!" ... "Oh, meverouw Gesthuizen, wat slim! Daar hebben we nou nog nooit aan gedacht! We stoppen per direct met het maken van fouten."
Ach, windows is ook maar iets van 50 miljoen regels code, zo'n 900.000 paginas geprint. Misschien kunnen ze er een stagiaire opzetten van de winter om de fouten eruit te vissen.
[Reactie gewijzigd door Zoijar op zaterdag 5 november 2011 11:39]
Indd, MS wilt natuurlijk een zo veilig software programma hebben. Dit is weer typisch Nederlands eigenlijk. Niet de dader zoeken die hackt, maar het bedrijf pakken die er voor zorgt dat vele Nederlanders kunnen computeren.
Idd... net zoals dat je in Nederland door een inbreker aangeklaagd kan worden omdat je de boef je huis uit hebt geslagen. Wordt je beroofd van je tas op straat. dan is de politie ook nog zo bijdehand om te zeggen dat je de tas maar beter had moeten vasthouden (werkelijk!) Of een politieagent die je in het ziekenhuis heel bijdehand vraagt of de aanrijding opzettelijk was... omdat er de ervoor iemand met 50km/u plus achterop je wagen is gereden... dan krijg je argumenten als 'anticiperen' e.d. BAH BAH. Zo wordt er leiding gegeven in ons land en voorbeeld doet volgen, zeker als dit van de regelmakers komt. In Nederland doen we vooral aan symptomen bestrijding en daarin het 'slachtoffer' de dader maken door te zeggen dat je dan maar beter had moeten opletten, of had moeten beveiligen.
Wat als jij een huis huurt, jij denkt dat alles in orde is en de eerste nacht dat je er in zit halen boeven de achterdeur er zo uit en jatten alles wat er in zit. Bleek dat die achterdeur niet goed was, vind je dan nog steeds dat jij hierzelf de verantwoording draagt.
Als ik kijk naar de afgelopen jaren is er enorm veel informatie op straat gekomen, wij hebben een bepaalde verwachting van die producten waarvoor wij betalen. Dat de hacker strafbaar bezig is mag duidelijk zijn, maar heeft de maker dan geen verantwoordelijkheid meer? Dan gaan we namelijk leven in een wereld met auto's zonder autoalarmen of sloten enz.
Als je dus kijkt naar blunders zoals bijvoorbeeld bij Sony, dan zie je grove fouten bij bedrijven, ik denk dat het niet slecht is om bedrijven echt te forceren om goed naar de beveiliging te kijken, aan de ene kant maken ze namelijk producten zo dat je er alles in kwijt kan, dat je het voor alles kan gebruiken, maar de beveiliging is hier duidelijk niet voldoende voor. Dan is het hun verantwoordelijkheid om te zorgen dat het product ook geschikt is voor wat ze adverteren.
Als ik kijk naar de afgelopen jaren is er enorm veel informatie op straat gekomen, wij hebben een bepaalde verwachting van die producten waarvoor wij betalen. Dat de hacker strafbaar bezig is mag duidelijk zijn, maar heeft de maker dan geen verantwoordelijkheid meer? Dan gaan we namelijk leven in een wereld met auto's zonder autoalarmen of sloten enz.
Als je dus kijkt naar blunders zoals bijvoorbeeld bij Sony, dan zie je grove fouten bij bedrijven, ik denk dat het niet slecht is om bedrijven echt te forceren om goed naar de beveiliging te kijken, aan de ene kant maken ze namelijk producten zo dat je er alles in kwijt kan, dat je het voor alles kan gebruiken, maar de beveiliging is hier duidelijk niet voldoende voor. Dan is het hun verantwoordelijkheid om te zorgen dat het product ook geschikt is voor wat ze adverteren.
De overheid vraagt van fabrikanten om veilige producten te maken zodat de consument geen schade wordt toegebracht ook niet door anderen die het product hanteren. Dat geldt voor voedsel, gebouwen, gereedschap, speelgoed, enz. Waarom zou dit niet gelden voor een OS?
Is het dan zo raar dat de overheid eist dat een OS veilig is?
Ik vind van niet. Linux, BSD, OSX bewijzen ook dat het mogelijk is een veel veilger OS te maken. Een 100% veilig OS? Nee 100% veiligheid bestaat nergens en vraagt de overheid ook nimmer. Maar het moet wel veilig en betrouwbaar zijn in de handen van kinderen, ouderen, atechnische mensen, want de producent richt zijn product ook op die afnemers.
Eula's en veiligheidswaarschuwingen zijn manieren om onder zijn aansprakelijkheid uit te komen. Dat moet beperkt worden vind ik. Een producent moet de verantwoordelijkheid voor de productveiligheid niet bij de gebruiker kunnen leggen. Het kan veiliger, dus mag je ook vragen om het veiliger te maken.
Is het dan zo raar dat de overheid eist dat een OS veilig is?
Ik vind van niet. Linux, BSD, OSX bewijzen ook dat het mogelijk is een veel veilger OS te maken. Een 100% veilig OS? Nee 100% veiligheid bestaat nergens en vraagt de overheid ook nimmer. Maar het moet wel veilig en betrouwbaar zijn in de handen van kinderen, ouderen, atechnische mensen, want de producent richt zijn product ook op die afnemers.
Eula's en veiligheidswaarschuwingen zijn manieren om onder zijn aansprakelijkheid uit te komen. Dat moet beperkt worden vind ik. Een producent moet de verantwoordelijkheid voor de productveiligheid niet bij de gebruiker kunnen leggen. Het kan veiliger, dus mag je ook vragen om het veiliger te maken.
[Reactie gewijzigd door Magalaan op zaterdag 5 november 2011 16:30]
Dat gaat anno 2011 ook niet meer op. Google maar eens op linux exploits. Out of the box is linux helemaal niet veiliger (afhankelijk van de distro). Je moet weten wat je doet en hoe het werkt. Dan kan het veiliger zijn.
Willekeurig verhaaltje http://www.security-faqs....est-operating-system.html
Willekeurig verhaaltje http://www.security-faqs....est-operating-system.html
[Reactie gewijzigd door sdk1985 op zaterdag 5 november 2011 16:24]
Zou Linux nog zo veilig zijn als de marktaandelen van Linux en Windows omgedraaid waren? Inbreken in Windows is natuurlijk voor spammers e.d. veel interessanter vanwege het massagebruik.
Momenteel neemt het aantal virussen en exploits voor Android en IOS veel sneller toe dan voor Windows Phone.
Aan deze exploit kun je weinig doen, maar de meeste exploits zijn zeer goed te voorkomen. Alleen gaan werknemers dan klagen dat zij niets meer kunnen met hun PC. Onze werkplekken zijn zo goed als volledig dichtgetimmerd. Echter software kan alleen worden geïnstalleerd via group policies en zelfs veel systeembeheerders hebben geen rechten om software te installeren.
Maar op deze systemen is bijvoorbeeld ook geen Flash, Java of Silverlight aanwezig. Ook kunnen werknemers maar een beperkt aantal url's bezoeken. Willen zij bijvoorbeeld een Google Search uitvoeren (het gaat dan met name om de resultaten van de zoekopdracht), dan moeten zij inloggen op de sandbox machines. Zodra de user uitlog, wordt de originele vmware image terug gezet. Als werknemers kunnen websites op de whitelist laten plaatsen en indien gecontroleerd en toegevoegd kunnen zij die websites ook bezoeken via hun eigen werkplek. Administrators hebben een nog een extra 'username-admin' account zodat zij standaard ook niet met extra rechten draaien.
Maar je wilt serieus niet weten hoeveel Linux gebruikers standaard gewoon als root inloggen. Net als met SSH behoort je ook gewoon op de console niet als root in te loggen. Helaas heb ik nog geen (populaire) distributie welke root login standaard via PAM blokkeerd..
Daarbij proberen alle software huizen de software zoveel mogelijk zonder bugs af te leveren. Immers bij elke bug krijgen zij een flinke lading negatieve publiciteit over hun heen. Overigens heeft Microsoft geprobeerd de basis van het probleem (de vele onderdelen welke onder admin rechten draaien) structureel aan te pakken door veel strengere eisen te stellen aan de applicaties welke om verhoogde rechten vragen te stellen. Een van de eisen was dat elke applicatie voorzien moest zijn van AuthentiCode om kernel toegang te krijgen. Vervolgens begonnen de anti-virus bedrijven te klagen onder andere bij de EC en moest Microsoft de verandering terug draaien. Als alternatief is Microsoft toen met UAC gekomen. Beetje raar dus dat de SP nu komt klagen dat dat Windows niet veilig genoeg is.
Is niet heel erg veel anders dan dat de politiek op basis van totaal verkeerde argumenten QoS en traffic priority verbied om DPI tegen te gaan. Dat verbod betekend dat providers dus de bandbreedte moeten verhogen om ervoor te zorgen dat zoals VOIP als bittorrent allebei naar behoren blijven werken. En volgens zijn de politieke partijen verbaasd dat de abonnementen omhoog gaan..
Maar waarom vraagt diezelfde SP niet aan Sony om hun PlayStation netwerk beter te beveiligen. Dat netwerk wordt zo'n beetje vaker gehacked dan dat er exploits voor Windows bekend worden. Maar tunnelvisie (EDP, OV Chipknip, Euro) is in de politiek niet een zeldzaam iets. Wist je dat als elke European 2 jaar geleden een 10 euro (komt neer op ruim 8 miljard) had bepaald dat Griekenland, Spanje en Ierland dan onder de maximale 3% begrotingstekort hadden gezeten? Echter door besluiteloosheid van de politiek dost de gehele crises nu al ruim 400 euro per Nederlander. Politiek en daadkracht gaan helaas niet samen..
Aan deze exploit kun je weinig doen, maar de meeste exploits zijn zeer goed te voorkomen. Alleen gaan werknemers dan klagen dat zij niets meer kunnen met hun PC. Onze werkplekken zijn zo goed als volledig dichtgetimmerd. Echter software kan alleen worden geïnstalleerd via group policies en zelfs veel systeembeheerders hebben geen rechten om software te installeren.
Maar op deze systemen is bijvoorbeeld ook geen Flash, Java of Silverlight aanwezig. Ook kunnen werknemers maar een beperkt aantal url's bezoeken. Willen zij bijvoorbeeld een Google Search uitvoeren (het gaat dan met name om de resultaten van de zoekopdracht), dan moeten zij inloggen op de sandbox machines. Zodra de user uitlog, wordt de originele vmware image terug gezet. Als werknemers kunnen websites op de whitelist laten plaatsen en indien gecontroleerd en toegevoegd kunnen zij die websites ook bezoeken via hun eigen werkplek. Administrators hebben een nog een extra 'username-admin' account zodat zij standaard ook niet met extra rechten draaien.
Maar je wilt serieus niet weten hoeveel Linux gebruikers standaard gewoon als root inloggen. Net als met SSH behoort je ook gewoon op de console niet als root in te loggen. Helaas heb ik nog geen (populaire) distributie welke root login standaard via PAM blokkeerd..
Daarbij proberen alle software huizen de software zoveel mogelijk zonder bugs af te leveren. Immers bij elke bug krijgen zij een flinke lading negatieve publiciteit over hun heen. Overigens heeft Microsoft geprobeerd de basis van het probleem (de vele onderdelen welke onder admin rechten draaien) structureel aan te pakken door veel strengere eisen te stellen aan de applicaties welke om verhoogde rechten vragen te stellen. Een van de eisen was dat elke applicatie voorzien moest zijn van AuthentiCode om kernel toegang te krijgen. Vervolgens begonnen de anti-virus bedrijven te klagen onder andere bij de EC en moest Microsoft de verandering terug draaien. Als alternatief is Microsoft toen met UAC gekomen. Beetje raar dus dat de SP nu komt klagen dat dat Windows niet veilig genoeg is.
Is niet heel erg veel anders dan dat de politiek op basis van totaal verkeerde argumenten QoS en traffic priority verbied om DPI tegen te gaan. Dat verbod betekend dat providers dus de bandbreedte moeten verhogen om ervoor te zorgen dat zoals VOIP als bittorrent allebei naar behoren blijven werken. En volgens zijn de politieke partijen verbaasd dat de abonnementen omhoog gaan..
Maar waarom vraagt diezelfde SP niet aan Sony om hun PlayStation netwerk beter te beveiligen. Dat netwerk wordt zo'n beetje vaker gehacked dan dat er exploits voor Windows bekend worden. Maar tunnelvisie (EDP, OV Chipknip, Euro) is in de politiek niet een zeldzaam iets. Wist je dat als elke European 2 jaar geleden een 10 euro (komt neer op ruim 8 miljard) had bepaald dat Griekenland, Spanje en Ierland dan onder de maximale 3% begrotingstekort hadden gezeten? Echter door besluiteloosheid van de politiek dost de gehele crises nu al ruim 400 euro per Nederlander. Politiek en daadkracht gaan helaas niet samen..
Net alsof vertrouwse sites niet gekaapt (via DNS) of gehackt kunnen worden. Het blokkeren van alles behalve diegene die je vertrouwd helpt een klein beetje maar is an sich niet afdoende en hindert vervolgens diverse medewerkers zodanig dat ze hun werk niet fatsoenlijk meer kunnen uitvoeren. Het toevoegen van een website aan de whitelist, (vaak zelfs maar voor een eenmalige aanvraag bij een KVK, overheid of andere instantie,) kost bij veel bedrijven dusdanig veel romplomp dat de deadline verstreken is of men het dan maar via papieren formieren of thuis gaat doen. Wil je voldoende scenario's op voorhand gaan afvangen via een uitgebreide whitelist dan moet deze dusdanig lang worden dat het ook niet meer realiseerbaar is, en is deze bovendien zo lang dat het geen toegevoegde waarde meer is voor de beveiliging.Maar op deze systemen is bijvoorbeeld ook geen Flash, Java of Silverlight aanwezig. Ook kunnen werknemers maar een beperkt aantal url's bezoeken. Willen zij bijvoorbeeld een Google Search uitvoeren (het gaat dan met name om de resultaten van de zoekopdracht), dan moeten zij inloggen op de sandbox machines/
Het lijkt me wel dat het bij jullie behoorlijk goed op orde is.
Daar zijn een paar simpele argumenten voor.Maar waarom vraagt diezelfde SP niet aan Sony om hun PlayStation netwerk beter te beveiligen.
- Er zijn minder PS3-gebruikers als Windows gebruikers.
- De PS3 wordt slechts zeer zelden zakelijk gebruikt.
Het gaat hier om MISbruik van het product he?
Er zijn mensen die MISbruik maken van de producten en daardoor andere schade toe doen. Een honkbal knuppel (mits goed gehanteerd) doet de consument geen kwaad, als een kwaad-willende echter de consument met de knuppel voor zijn gezicht slaat omdat deze knuppel niet "beveiligd" is tegen het wegnemen van het voorwerp bij de consument, dan......... tja.
Er zijn mensen die MISbruik maken van de producten en daardoor andere schade toe doen. Een honkbal knuppel (mits goed gehanteerd) doet de consument geen kwaad, als een kwaad-willende echter de consument met de knuppel voor zijn gezicht slaat omdat deze knuppel niet "beveiligd" is tegen het wegnemen van het voorwerp bij de consument, dan......... tja.
Wat een domme vergelijking zeg. Als jij een huis huurt ben je ZELF verantwoordelijk voor het controleren, daar teken je namelijk voor..
Als een achterdeur duidelijk zichtbaar niet goed is valt dit natuurlijk gelijk op. Wat er in dit geval gebeurt is dat er op de achterdeur schanieren zaten die achteraf blijkbaar heel makkelijk open gemaakt kunnen worden.
ZO kunnen we bezig blijven, bijna 99% van de inbraken gaat maar om 1 ding en dat is geld. Bedrijven wil maar 1 ding en dat is geld verdienen.
Kunnen bedrijven het veroorloven om extreme maatregelen te nemen om de beveiliging van producten 100% te maken? nee. Is het technisch mogelijk? uiteraard.
Zo komen we weer in een visuele circel waarbij veiligheid\security altijd op de tweede plaats komt want nr1 zal altijd zijn geld.
Zolang we leven met het bizarre monotaire geld systeem zal veiligheid altijd op de 2de plaats komen, of het nu gaat om software of materialen. Sad but true.
Als een achterdeur duidelijk zichtbaar niet goed is valt dit natuurlijk gelijk op. Wat er in dit geval gebeurt is dat er op de achterdeur schanieren zaten die achteraf blijkbaar heel makkelijk open gemaakt kunnen worden.
ZO kunnen we bezig blijven, bijna 99% van de inbraken gaat maar om 1 ding en dat is geld. Bedrijven wil maar 1 ding en dat is geld verdienen.
Kunnen bedrijven het veroorloven om extreme maatregelen te nemen om de beveiliging van producten 100% te maken? nee. Is het technisch mogelijk? uiteraard.
Zo komen we weer in een visuele circel waarbij veiligheid\security altijd op de tweede plaats komt want nr1 zal altijd zijn geld.
Zolang we leven met het bizarre monotaire geld systeem zal veiligheid altijd op de 2de plaats komen, of het nu gaat om software of materialen. Sad but true.
Dan is de oplossing dus geld afschaffen 
Hou toch eens op met dat onzinverhaal. Iedere burger heeft het recht om gepaste actie te ondernemen om zichzelf en zijn naasten, maar ook willekeurige mensen en bezittingen te beschermen. Waar het "mis" gaat is wat mensen nog gepast willen noemen. Als een inbreker je een mes op de keel zet, of je kinderen onder schot neemt ofzo, mag je héél ver gaan. Dat hoeft die inbreker niet eens te overleven. Noodweer nemen ze dat. Maar een inbreker zijn mogelijkheid tot vluchten ontnemen door zijn knieschijven te verbrijzelen is niet gepast, hoe graag je dat ook zou willen... En ja natuurlijk zit daartussen genoeg "grijs" gebied, maar dit land is bij lange na niet het paradijs voor criminelen dat zo vaak geschetst wordt...
Weet je zeker dat die niet wordt gezocht (nee, natuurlijk wordt die niet gezocht door een politieke partij, waarschijnlijk wel door politie)Niet de dader zoeken die hackt,
... en gelijktijdig kan een ander de leverancier van de gebreken vertonende software aan de tand voelen.maar het bedrijf pakken die er voor zorgt dat vele Nederlanders kunnen computeren.
Dat veel mensen diezelfde software gebruiken is toch geen rede om geen vragen te stellen over de gebreken?
[Reactie gewijzigd door BadRespawn op zaterdag 5 november 2011 21:00]
Niet als je zelf geen admin rechten hebt hoor.
Seriously?
Maar natuurlijk...
JE kon in Vista ook typen 'Ik wil een raket lanceren' en toen kreeg je launch control voor je.
Maar natuurlijk...
JE kon in Vista ook typen 'Ik wil een raket lanceren' en toen kreeg je launch control voor je.
Ik bestuur Merkel en Sarkozy nog iedere dag vanachter mijn computer. En jullie maar denken, welke grapjas zit er achter de crisis.
Dan doet vista in ieder geval wel wat je wil 
Maar even on topic, wat Zoijar zei, het is toch te belachelijk voor woorden hier in de nederlandse regering. Ze roepen te vaak dingen terwijl ze geen idee hebben wat er eigenlijk allemaal achter zit.
edit: typo
Maar even on topic, wat Zoijar zei, het is toch te belachelijk voor woorden hier in de nederlandse regering. Ze roepen te vaak dingen terwijl ze geen idee hebben wat er eigenlijk allemaal achter zit.
edit: typo
[Reactie gewijzigd door Derlux op zaterdag 5 november 2011 11:55]
Geen maatschappijleer gehad? Een kamerlid uit de oppositie die wil scoren != regering.
Precies, zometeen durft niemand meer software te schrijven en uit te geven omdat men bang is voor exploits. Ze zouden wat meer naar eigen producten moeten kijken zoals die ov-chipkaart, dig id. Over lek als een mandje gesproken...
En waarom zou dat slecht zijn? Anders wordt het nooit beter...Precies, zometeen durft niemand meer software te schrijven en uit te geven omdat men bang is voor exploits.
Als je software schrijft die meer basale rechten nodig heeft op een systeem hoort daar de verantwoordelijkheid bij om de consument te beschermen tegen exploits. Ik moet daar als klant op kunnen vertrouwen.
Het wordt wel beter als niemadn meer software schrijft? Jij predikt dus vooruitgang door nietsdoen? Ik denk dat elke HAVO leerling je kan vertellen dat hij/zij met niets doen nooit een bal verder is gekomen met z'n huiswerk, maar als jij het wilt proberen, dan lijkt het me het handigst thuis te beginnen: verwijder ALLE software waarin bugs zitten of zouden kunnen zitten van je PC, en gebruik alleen 100% gegarandeerde bug-vrije applicaties.[...]
En waarom zou dat slecht zijn? Anders wordt het nooit beter...
Zien we je in 2077 wel weer.
Bollocks. Je koopt als klant een product waar bepaalde eisen aan gesteld kunnen worden, maar je koopt het zoals het is. Als het voor dat geld mogelijk was wat beters te maken dan werd dat wel gedaan: softwareboeren willen tenslotte geld verdienen, en dat doen ze door software te verpatsen.Als je software schrijft die meer basale rechten nodig heeft op een systeem hoort daar de verantwoordelijkheid bij om de consument te beschermen tegen exploits. Ik moet daar als klant op kunnen vertrouwen.
Het feit dat er geen software is die aan jouw eisen voldoet én binnen jouw budget valt geeft aan dat er een probleem is met je eisen c.q. je budget, niet met de leveranciers.
Wat voor keuze heb je als consument, a: een Mac, B een PC met windows...[...]
Het wordt wel beter als niemadn meer software schrijft? Jij predikt dus vooruitgang door nietsdoen? Ik denk dat elke HAVO leerling je kan vertellen dat hij/zij met niets doen nooit een bal verder is gekomen met z'n huiswerk, maar als jij het wilt proberen, dan lijkt het me het handigst thuis te beginnen: verwijder ALLE software waarin bugs zitten of zouden kunnen zitten van je PC, en gebruik alleen 100% gegarandeerde bug-vrije applicaties.
Zien we je in 2077 wel weer.
[...]
Bollocks. Je koopt als klant een product waar bepaalde eisen aan gesteld kunnen worden, maar je koopt het zoals het is. Als het voor dat geld mogelijk was wat beters te maken dan werd dat wel gedaan: softwareboeren willen tenslotte geld verdienen, en dat doen ze door software te verpatsen.
Het feit dat er geen software is die aan jouw eisen voldoet én binnen jouw budget valt geeft aan dat er een probleem is met je eisen c.q. je budget, niet met de leveranciers.
a. Macs zijn belachelijk duur.. b. Windows is goedkoop met O.E.M. en retail belachelijk duur..
c je hebt linux.. pc-bsd
Als je gelijk welk product (inclusief producten met embedded software) koopt en er blijkt dat bepaalde essentiële functionaliteit niet of onveilig werkt, wordt dat product teruggeroepen en hersteld. Zoiets noemen we 'garantie'. Maar om één of andere reden denken softwaremensen dat dat voor hen niet geldt.Bollocks. Je koopt als klant een product waar bepaalde eisen aan gesteld kunnen worden, maar je koopt het zoals het is. Als het voor dat geld mogelijk was wat beters te maken dan werd dat wel gedaan: softwareboeren willen tenslotte geld verdienen, en dat doen ze door software te verpatsen.
Het feit dat er geen software is die aan jouw eisen voldoet én binnen jouw budget valt geeft aan dat er een probleem is met je eisen c.q. je budget, niet met de leveranciers.
Ook in een ingewikkeld mechanisch ontwerp kunnen makkelijk fouten sluipen (denk aan het aantal auto's, fietsen en reflexcamera's dat teruggeroepen wordt, om maar drie willekeurige voorbeelden te noemen waar ik zelf ervaring mee heb (met een product dat teruggeroepen is). Maar in tegenstelling tot ITers vindt geen enkel mechanisch ingenieur dat eigenaardig...
Dikke onzin natuurlijk. Informatica-inginieurs hebben een 'luizenleventje' vergeleken bij 'normale' inginieurs.zometeen durft niemand meer software te schrijven en uit te geven omdat men bang is voor exploits
Kijk naar Tchernobyl: Zijn er daarna nooit meer kerncentrales gebouwd omdat men bang was aansprakelijk gesteld te worden?
Kijk naar de EULA's van Windows: MSFT vind zichzelf niet aansprakelijk voor problemen in door het ontwerp van haar software! Dus de burger draait op voor de kosten en problemen.
Stapt u in een Boeing / Airbus, als Boeing / Airbus u een verklaring laat tekenen waarin ze zeggen niet aansprakelijk te zijn voor ontwerp-fouten? En als ze zeggen: Ja sorry hoor, maar een vliegtuig bouwen zonder fouten is onmogelijk, een foutmarge van 1 op de 1000 maten en 1 op de 1000 kabeltjes (van 100 000)in onze ontwerp-tekeningen ligt onder het industrie-gemiddelde".
Kijk naar TEPCO: Na het debacle in Japan betalen ze miljarden aan schadeclamis, omdat hun ontwerp niet deugde.
Kijk naar de HSL: Het ontwerp van de software (of de ERTMS-standaard) deugde niet. Wie betaalt dat, de software-ontwikkelaars? Nee, want in software kunnen fouten worden gemaakt, dus nu is de HiSpeed Alliantie door alle vertragingen en blunders van informatici / politici praktisch failliet.
Kijk naar artsen: Als zij door "slordigheid" 1 op 1000 mensen onnodig laten doodgaan bij operaties, gaan zij dan voortaan mensen een licentie laten tekenen waarin ze 'aansprakelijkheid disclaimen' zoals MSFT? Zou de maatschappij dat tolereren?
Toyota: Als er wat gebreken zijn en mensen beweren dat ze daardoor ongelukken hebben gehad / anderen om het leven komen, wordt dan gezegd: Ja sorry foutje van Toyota - kan gebeuren? Nee, ze zijn daarvoor aansprakelijk gesteld. Bleek overigens niet Toyota's fout te zijn.
Balkons in Maastricht: Toen die waren ingestort en twee mensen overleden door fouten in controle / uitvoering van aannemer, zei de aannemer: "Daarvoor weigeren we aansprakelijkheid?" Nee, die aannemer kreeg een dikke boete wegens nalatigheid.
Met andere woorden: Waarom wordt het van ingenieurs niet getolereerd dat ze fouten maken, en van programmeurs wel? Doen ingenieurs soms makkelijker werk?
Waarom moeten ingenieurs-bureaus die fouten maken in fysieke constructies betalen als ze nalatig zijn geweest, en programmeurs niet?
Software-makers moeten stoppen dikke boehoe te doen en beweren dat wat zij doen zo 'ingewikkeld is' en niet zonder fouten kan. Turlijk, fouten zijn menselijk. En werknemers persoonlijk aansprakelijk stellen voor fouten gaat te ver. Maar smoesjes voor nalatigheid van programmeurs zouden we als maatschappij niet meer moeten tolereren, want dat doen we ook niet van artsen en ingenieurs.
Het wordt tijd dat de software-industrie eindelijk volwassen wordt, haar verantwoordelijkheid neemt en stopt broddelwerk af te leveren wat van andere beroepsgroepen absoluut niet getolereerd zou worden.
Als Microsoft zo'n amateuristisch pruts-bedrijf is dat ze dat niet kunnen, dan moeten ze eens wat vaker bij fatsoenlijke bedrijven op bezoek gaan die hun ontwerp/controle processen wél op orde hebben. En als het allemaal te complex is om te managen, moeten ze misschien de boel gewoon eens wat minder complex maken, want een ruimtestation dat ontploft 'omdat het ontwerp door de complexiteit onbeheersbaar was geworden' wordt niet getolereerd, dus waarom wel van een OS?
De maanlanding werd immers ook gedaan met ca ~35kb RAM, en daar ging het immers al bijna mis met de software, dus die 10+GB van Win7 moet een nachtmerrie zijn qua beheersing. En hoe kan het eigenlijk dat zo ongeveer het armste besturings-systeem (OpenBSD) wél preventieve code-audits ieder jaar uitvoert en preventief buffer-overruns voorkomt door o.a. het vervangen van unsigned int door signed int? Waarom heeft een onderzoeks / hobbyprojectje als CoyotOS wel een veel hogere EAL-certificering dan Windows, terwijl er in laatste veel meer geld omgaat?
Betere technieken dan de achterhaalde jaren '70 meuk uit Windows / Linux bestaan er dus al vrij lang, zoals 'capability based microkernel', EAL-certificering e.a.
Maar helaas gaat MSFT voor de 'one size fits all' benadering waarbij alle klanten hetzelfde krijgen voorgeschoteld (stel je voor dat Airbus hetzelfde vliegtuig moest leveren aan luchtvaartmaatschappijen, zakenlui-privejets en leger) en gebruiksgemak vaak belangrijker is dan veiligheid (o.a. pin-automaten / nucleaire onderzeeers / industriele systemen voor kerncentrales op Windows).
En hier wordt met droge ogen beweerd dat software-makers liefst systemen willen maken zonder bugs, maar dat betwijfel ik. Wordt een programmeur / software-bedrijf meer / minder betaalt aan de hand van de kwaliteit van hun werk? Meestal niet, Windows wordt toch wel voorgeinstalleerd opgedrongen aan de consument, ongeacht de kwaliteit en de vraag of de consument het wel of niet wil (zie Vista). Dus programmeurs worden helemaal niet aangemoedigd bugvrije software te schrijven; hooguit zoveel zo snel mogelijk.
Net als het patent-kantoor. De resulterende chaos en maatschappelijke kosten van al die "intellectuele vervuiling" laat zich raden. Stel dat de makers van Borssele zo werden betaald (per gemaakte tekening en bonus als 't eerder af is), zou u dan nog graag naast die centrale wonen?
Dus ja, de fout zit wel degelijk bij luie leveranciers die 'kwaliteit' niet in de doelstellingen van hun bedrijf hebben staan, omdat de klant 't ook wel koopt als de kwaliteit bagger is en het product vol zit met slordigheid-defecten. En dan nog met droge ogen hier mensen die beweren dat het de schuld van de klant is die onredelijke eisen stelt...
Wat zou er gebeuren als TEPCO dat zegt: "Mensen mogen niet van ons verwachten dat we een tsunami-veilige centrale bouwen, dat zijn onredelijk hoge verwachtingen. Althans: Niet voor het geld dat we ervoor kregen. Eigen schuld dikke bult van de omwonenden dus".
Wat als de FDA zou zeggen: Tja, eisen dat alle medicijnen die we goedkeuren geen dodelijke bijwerkingen hebben is een beetje een te hoge eis - althans voor het geld dat we krijgen. En als we een fout maken en er overlijden even 100 mensen door onze controlefout, dan brengen we iedere dinsdag een 'patch' uit, een update voor onze lijst, en als het echt erg is, dus meer dan 1000 doden, wachten we niet op dinsdag maar doen we 't gelijk morgen - maar de apotheken kunnen dat uitstellen als ze willen, want tja, de update moet hun bedrijfs-proces niet teveel verstoren'.
Maar nee, programmeurs steken liever hun kop in het zand en geven het budget / klanten de schuld van hun falen.
[Reactie gewijzigd door kidde op zondag 6 november 2011 01:33]
Deadlines spelen een belangerijke rol.
Als men te lang over een project doet, lopen de investeringskosten te hoog op en wordt de tijd waarin het resultaat verkocht wordt korter, dus levert het minder op.
De marketingafdeling stelt een releasedatum en die moet gehaald worden.
Als men te lang over een project doet, lopen de investeringskosten te hoog op en wordt de tijd waarin het resultaat verkocht wordt korter, dus levert het minder op.
De marketingafdeling stelt een releasedatum en die moet gehaald worden.
Nou, de regering... Het is deze keer weer eens een SP kamerlid dat wat begint te gillen. Wat ik me afvraag is als de 2e kamer MS ter verantwoording kan roepen, kunnen wij dan ook de 2e kamer ter verantwoording roepen voor gemaakte grove fouten? Ze hebben de laatste jaren er namelijk nogal wat gemaakt... En als we dan toch bezig zijn, wellicht dat we de SP dan meteen even ter verantwoording kunnen roepen inzake hun wortelen (communistisch, etc.)...
Not to mention het verkwisten van gemeenschapsgeld aan dit soort waanzinnig stomme onzin kamervragen, wat uiteindelijk van ons belastinggeld betaald wordt.En als we dan toch bezig zijn, wellicht dat we de SP dan meteen even ter verantwoording kunnen roepen inzake hun wortelen (communistisch, etc.)...
Eigenlijk zou je alleen maar moeten hoeven bijdragen aan de onzin van de partij waarop je gestemd hebt, dan verdwenen dit soort waanzinnigen vanzelf
Tuurlijk dat, dat noemt men verkiezingen.
Beste Cergorach,
Ik heb wel een paar kantekeningen op je opmerking
Consumenten, normale particulier en zakelijke klanten zonder politieke invloed
zijn niet belangrijk genoeg voor Microsoft en dat bljikt uit het feit dat een Sandbox per applicatie nog niet eens voorhanden is. Voor Overheid en Corporate clients is men een stuk toeschietelijker, dat is een kenmerk voor Corporatisme en geen Kapitalisme
Sinds wanneer is een socialist/communist in staat om het onderscheid te herkennen
Ik quote maar liever Thomas Paine: "where there is freedom the government fears the people if the people fear the government there is tyranny"
Ik zie het niet een taak van de overheid om ons tegen van alles en nog wat te beschermen, de overheid moet waken over onze vrijheid en dat onze rechten beschermt worden niet dat de overheid tegen individuen wordt beschermt.
Ik heb wel een paar kantekeningen op je opmerking
Consumenten, normale particulier en zakelijke klanten zonder politieke invloed
zijn niet belangrijk genoeg voor Microsoft en dat bljikt uit het feit dat een Sandbox per applicatie nog niet eens voorhanden is. Voor Overheid en Corporate clients is men een stuk toeschietelijker, dat is een kenmerk voor Corporatisme en geen Kapitalisme
Sinds wanneer is een socialist/communist in staat om het onderscheid te herkennen
Ik quote maar liever Thomas Paine: "where there is freedom the government fears the people if the people fear the government there is tyranny"
Ik zie het niet een taak van de overheid om ons tegen van alles en nog wat te beschermen, de overheid moet waken over onze vrijheid en dat onze rechten beschermt worden niet dat de overheid tegen individuen wordt beschermt.
Consumenten, normale particulier en zakelijke klanten zonder politieke invloed hebben de keuze om MS producten te kopen of niet als ze het inderdaad zo onveilig vinden. Zowel MacOS als Linux bieden voldoende opties om één ieder te kunnen serveren in wat ze willen (zakelijk/prive/entertainment). Alleen de keuze in producten die op de OSen draaien is wat gelimiteerder...
Een socialist/communist staat niet gelijk aan stupide persoon.
Ik zou graag willen dat de overheid de burger niet tegen van alles en nog wat moest beschermen, maar als ik zo om me heen kijk dan ben ik bang dat de gemiddelde burger van de wieg tot het graf beschermd dient te worden, voornamelijk van zichzelf...
Een socialist/communist staat niet gelijk aan stupide persoon.
Ik zou graag willen dat de overheid de burger niet tegen van alles en nog wat moest beschermen, maar als ik zo om me heen kijk dan ben ik bang dat de gemiddelde burger van de wieg tot het graf beschermd dient te worden, voornamelijk van zichzelf...
Wat heeft het communisme hiermee te maken? 1 is er een reden waarom de partij SP heet en niet CP en 2 weten de meeste mensen niet eens wat communisme is. Iedereen ziet dan spookbeelden van China voor zich terwijl dat land verre van het communisme is.
Klopt, de SP is niet gebaseerd op het communisme.
Helaas is het nog veel erger, ze waren/zijn mao-istisch. Dat is een stuk erger socialisme en communisme.
Helaas is het nog veel erger, ze waren/zijn mao-istisch. Dat is een stuk erger socialisme en communisme.
Softwarefabrikanten geven of in elk geval gaven hier ook niks om, en dat is inderdaad belachelijk. Anders hadden ze wel een striktere scheiding tussen data (truetypefonts) en code (word/windows) aangebracht!
Ik weet dat het misschien naief of idealistisch klinkt, en dat het ook deels een kwestie van hardware is, maar aangezien een zeer groot percentage van de exploits berust op uitvoeren van data (middels overlopende buffers e.d.) is het iets waar veel meer discipline betracht moet worden (soms is het zo simpel als een andere C-functie of library gebruiken).
Tegen dat soort kwaadaardige slordigheid / grove nalatigheid van softwarefabrikanten helpt een dreiging met claims en straffen misschien wel: een volledige audit en reparatie van een programma als Word is duur, dus maak de boete nog maar wat duurder dan de audit en leg hem voorwaardelijk op. MS heeft genoeg vet op de botten om daar niet aan failliet te gaan!
P.S. Ik weet dat er dingen als DEP bestaan, maar dat is natuurlijk geen excuus om slechte programma's te blijven maken.
Ik weet dat het misschien naief of idealistisch klinkt, en dat het ook deels een kwestie van hardware is, maar aangezien een zeer groot percentage van de exploits berust op uitvoeren van data (middels overlopende buffers e.d.) is het iets waar veel meer discipline betracht moet worden (soms is het zo simpel als een andere C-functie of library gebruiken).
Tegen dat soort kwaadaardige slordigheid / grove nalatigheid van softwarefabrikanten helpt een dreiging met claims en straffen misschien wel: een volledige audit en reparatie van een programma als Word is duur, dus maak de boete nog maar wat duurder dan de audit en leg hem voorwaardelijk op. MS heeft genoeg vet op de botten om daar niet aan failliet te gaan!
P.S. Ik weet dat er dingen als DEP bestaan, maar dat is natuurlijk geen excuus om slechte programma's te blijven maken.
[Reactie gewijzigd door mae-t.net op zaterdag 5 november 2011 12:53]
Je kan een systeem zo veilig maken dat er niet meer mee te werken valt. Het is altijd een compromis, kiezen tussen security en useability.
Je kan op je voordeur ook 35 sloten plaatsen om een inbreker tegen te houden, maar dan ben je ook telkens een half uur bezig met je deur los en vast te maken. En dan slaat de inbreker gewoon het raam naast de deur stuk ...
Je kan op je voordeur ook 35 sloten plaatsen om een inbreker tegen te houden, maar dan ben je ook telkens een half uur bezig met je deur los en vast te maken. En dan slaat de inbreker gewoon het raam naast de deur stuk ...
Usability is ook zonder buffer-overflows natuurlijk uitstekend. De afweging betreft niet de usability maar de ontwikkelkosten.
Precies, en daarom hebben u en ik 1-5 sloten op de deur, een winkel 10, de bank 35 op de kluis, en een kerncentrale / onderzeeer en verrijkings-instituut in Iran misschien (hopelijk) 50. Allemaal een verschillende security / usability balans.
Echter, zij draaien vaak wel allemaal dezelfde Windows software - dus voor al hun software is dezelfde security / useability balans gekozen. Wat is hier mis?
@demilord: Dat denk ik niet, dat weet ik zeker. Anders kwam ik er niet mee, dacht u ook niet? Kerncentrale in Iran (Stuxnet): Windows. Britse kernonderzeeer met virus: Windows. Pinautomaten: Windows (kan je zelf checken als 'ie 't af en toe niet doet).
Echter, zij draaien vaak wel allemaal dezelfde Windows software - dus voor al hun software is dezelfde security / useability balans gekozen. Wat is hier mis?
@demilord: Dat denk ik niet, dat weet ik zeker. Anders kwam ik er niet mee, dacht u ook niet? Kerncentrale in Iran (Stuxnet): Windows. Britse kernonderzeeer met virus: Windows. Pinautomaten: Windows (kan je zelf checken als 'ie 't af en toe niet doet).
[Reactie gewijzigd door kidde op maandag 7 november 2011 00:02]
Die zijn er dus wel:
Op de embedded site van MS vind je nog veel meer op maat geschreven Windows versies.
Wat bedrijven moeten begrijpen is dat we in een dynamische wereld leven en dat je steeds weer investeringen moet doen op mogelijk problemen voor te blijven. Kijk maar eens naar het kraken van wachtwoorden. Een wachtwoord waar je 10 jaar geleden een eeuwigheid over zou doen om te kraken heb je nu binnen een paar tellen gekraakt.
Voor de Amerikaanse luchtmacht hebben ze ook een speciale versie van XP ontwikkeld. Ook voor pinautomaten is er een speciale versie uitgebracht.De Windows Server-versie zonder gui is niet getroffen door het beveiligingsprobleem, omdat die geen fonts hoeft te parsen.
Op de embedded site van MS vind je nog veel meer op maat geschreven Windows versies.
Wat bedrijven moeten begrijpen is dat we in een dynamische wereld leven en dat je steeds weer investeringen moet doen op mogelijk problemen voor te blijven. Kijk maar eens naar het kraken van wachtwoorden. Een wachtwoord waar je 10 jaar geleden een eeuwigheid over zou doen om te kraken heb je nu binnen een paar tellen gekraakt.
Ik wacht met smart op de publicatie: "On the design and implementation of guaranteed-error-free large-scale software systems" door Gesthuizen en Mae 
Hier wordt natuurlijk al sinds het begin van de computer intensief onderzoek naar gedaan. Dit is ook een van de redenen geweest om CLI in te voeren, zodat dit soort buffer overflows automatisch gedetecteerd kunnen worden. Fout-vrije software maken is gewoon heel erg moeilijk. Alle fouten uit miljoenen regels legacy code halen is haast ondoenlijk.
Er worden wel pogingen gedaan, maar om dit in de praktijk uit te voeren zal waarschijnlijk alles herschreven moeten worden. Misschien naar een automatisch verrifeerbare functionele taal,maar eigenlijk weet niemand het echt.
Hier wordt natuurlijk al sinds het begin van de computer intensief onderzoek naar gedaan. Dit is ook een van de redenen geweest om CLI in te voeren, zodat dit soort buffer overflows automatisch gedetecteerd kunnen worden. Fout-vrije software maken is gewoon heel erg moeilijk. Alle fouten uit miljoenen regels legacy code halen is haast ondoenlijk.
Er worden wel pogingen gedaan, maar om dit in de praktijk uit te voeren zal waarschijnlijk alles herschreven moeten worden. Misschien naar een automatisch verrifeerbare functionele taal,maar eigenlijk weet niemand het echt.
Ik zal de laatste zijn om te ontkennen dat verifieerbaar correcte programma's bijna onmogelijk zijn om binnen redelijke grenzen te maken. Ik stel echter dat veel programmeurs er met de pet naar gooien, door onkunde of tijdsdruk bijvoorbeeld, en dat het heus een stuk beter kan dan het nu gebeurt. Hoeveel webshops hadden ook weer exploits? SQL-injectie is ontzettend 1999. Dat heeft niet eens te maken met verifieerbaar correct programmeren, maar is echt botte nalatigheid, nog een stukje dommer dan een buffer-overflow in C. Data hoort niet uitgevoerd te kunnen worden.
En soms moet je maar wat legacy overboord gooien en herschrijven. MS doet dat uit zichzelf ook zo nu en dan met onderdelen van Windows. De dreiging van een bekeuring kan een stimulans zijn om dat wat uitgebreider en wat vaker te doen.
Een goede middenweg is ook best, maar zelfs daarvoor moet nog veel gebeuren.
En soms moet je maar wat legacy overboord gooien en herschrijven. MS doet dat uit zichzelf ook zo nu en dan met onderdelen van Windows. De dreiging van een bekeuring kan een stimulans zijn om dat wat uitgebreider en wat vaker te doen.
Een goede middenweg is ook best, maar zelfs daarvoor moet nog veel gebeuren.
[Reactie gewijzigd door mae-t.net op zaterdag 5 november 2011 18:01]
Inderdaad, en dan wil ik ze er aan herinneren dat (ik geloof in 2009) door een software bug "onze" regering een groot aantal belastingaangifte kwijt zijn geraakt.
Daarnaast zijn vele bedrijven laks met het installeren van updates, al dan niet om een goede rede (testen van de updates).
Ook draaien nog (te) veel bedrijven Windows xp welke niet meer officieel wordt ondersteund.
Er zijn voldoende manieren om rechten goed af te schermen.
Deze mevrouw moet eens komen praten met wat software engineering en vragen hoeveel fouten er in 100 regels code zitten. Laat staan 50 miljoen regels code.
Daarnaast zijn vele bedrijven laks met het installeren van updates, al dan niet om een goede rede (testen van de updates).
Ook draaien nog (te) veel bedrijven Windows xp welke niet meer officieel wordt ondersteund.
Er zijn voldoende manieren om rechten goed af te schermen.
Deze mevrouw moet eens komen praten met wat software engineering en vragen hoeveel fouten er in 100 regels code zitten. Laat staan 50 miljoen regels code.
http://support.microsoft.com/lifecycle/?LN=en-gb&C2=1173
Hier is het nog gewoon 2011 en géén 2014, maar 't kan zijn dat ik wat achter loop
Hier is het nog gewoon 2011 en géén 2014, maar 't kan zijn dat ik wat achter loop
"Belachelijk overigens. Net alsof software fabrikanten hier niks om geven."
Aangezien bugs verwijderen nogal prijzig maken alle softwarefabrikanten een financiele keuze over hoe ver ze gaan met het ontbuggen van hun software.
Aangezien bugs verwijderen nogal prijzig maken alle softwarefabrikanten een financiele keuze over hoe ver ze gaan met het ontbuggen van hun software.
Je kan bijv. aangeven onder welke user een app mag draaien en deze user zeer beperkte rechten geven. Via GPO en AppLocker kan je meer restricties opleggen.
[Reactie gewijzigd door Cobalt op zaterdag 5 november 2011 15:11]
ja maar wie doet dit als hij/zij thuis zit?
Je hoort vaak genoeg over UAC uitzetten, het niet gebruik maken van een user account voor dagelijk gebruik. Dit zal al in XP, maar pas bij vista/7 wordt er meer gebruikt van gemaakt door een deel vd gebruikers waarbij het andere deel dus juist hierover klaagt.
Je hoort vaak genoeg over UAC uitzetten, het niet gebruik maken van een user account voor dagelijk gebruik. Dit zal al in XP, maar pas bij vista/7 wordt er meer gebruikt van gemaakt door een deel vd gebruikers waarbij het andere deel dus juist hierover klaagt.
Hoezo naïef? Als iemand zelf al zegt zich er van bewust te zijn dat software altijd lekken kan bevatten, hoe kun je die persoon dan van naïviteit beschuldigen? Omdat het hier om een SP-er gaat? Of omdat het een vrouw is? Of beiden? Een tamelijke domme en tendentieuze opmerking!Ot: Beetje naief is het wel van deze SP Juf, exploits zitten zoals ze zegt wel vaker in software.
Ja, omdat het een SP vrouw is, daarom zeg ik dat. Wellicht wil je zelf even nadenken over je opmerking en wat ik opschreef, want ik bedoel dat het naïef is om te denken dat je Microsoft even op het matje kan roepen en daar wat mee te kunnen bereiken.
En wellicht is 'Juf' wat denigrerend, maar het voelt aan alsof de SP zich ook moet mengen in het debat over computerveiligheid en dus maar wat roept. Ik wil je er even aan herinneren dat Gesthuizen afgelopen week druk bezig was met de Mauro kwestie, hoe kan je dan een goed voorstel formuleren voor een totaal ander onderwerp? Kortom, ik heb het gevoel dat ze er niet veel verstand van heeft.
Voor de bühne noemen ze dat.
En wellicht is 'Juf' wat denigrerend, maar het voelt aan alsof de SP zich ook moet mengen in het debat over computerveiligheid en dus maar wat roept. Ik wil je er even aan herinneren dat Gesthuizen afgelopen week druk bezig was met de Mauro kwestie, hoe kan je dan een goed voorstel formuleren voor een totaal ander onderwerp? Kortom, ik heb het gevoel dat ze er niet veel verstand van heeft.
Voor de bühne noemen ze dat.
[Reactie gewijzigd door poepkop op zaterdag 5 november 2011 16:35]
@poepkop:
Windows heeft al meer dan 10 jaar een Sandbox: het .NET platform.
Alle .NET code heet managed code en per applicatie kan ingesteld worden hoeveel rechten het heeft. Als een applicatie geen rechten heeft om bijvoorbeeld op de schijf te schrijven, dan kan de applicatie zelfs als het onder het administrator account draait niet schrijven.
Wel kun je je afvragen waarom Microsoft nog zelf zoveel native applicaties heeft, als Word ook een .NET applicatie was dan was deze exploit niet mogelijk geweest.
Windows heeft al meer dan 10 jaar een Sandbox: het .NET platform.
Alle .NET code heet managed code en per applicatie kan ingesteld worden hoeveel rechten het heeft. Als een applicatie geen rechten heeft om bijvoorbeeld op de schijf te schrijven, dan kan de applicatie zelfs als het onder het administrator account draait niet schrijven.
Wel kun je je afvragen waarom Microsoft nog zelf zoveel native applicaties heeft, als Word ook een .NET applicatie was dan was deze exploit niet mogelijk geweest.
Wat moet Word met internet? Toegang tot My Documents\Word en Word's eigen programmadirectory lijkt me voldoende.
Het hele idee achter een exploit is dat door een bug (buffer of stack overflow bv), de aanvaller code kan uitvoeren met rechten die de applicatie normaal gesproken niet heeft.
Overigens zal Word wel degelijk netwerktoegang moeten hebben wil je bestanden van een netwerkdrive kunnen openen.
Overigens zal Word wel degelijk netwerktoegang moeten hebben wil je bestanden van een netwerkdrive kunnen openen.
[Reactie gewijzigd door Dreamvoid op zaterdag 5 november 2011 22:28]
Juist daarom moet de toegang die een applicatie heeft ook niet afhangen van die applicatie zelf (want met een exploit ben je dan de lul) maar van een (door de gebruiker te configureren) systeeminstelling, in de praktijk een firewall.
Netwerktoegang wordt (of zou moeten worden) geregeld door het OS en is voor een applicatie als Word transparant. Ik bedoel dat Word zelf alleen File I/O hoeft aan te spreken en niets hoeft te doen met TCP packets of HTTP requests.
Netwerktoegang wordt (of zou moeten worden) geregeld door het OS en is voor een applicatie als Word transparant. Ik bedoel dat Word zelf alleen File I/O hoeft aan te spreken en niets hoeft te doen met TCP packets of HTTP requests.
Onzinnig en compleet onrealistisch...
Edit: Taalfout
Edit: Taalfout
[Reactie gewijzigd door OriginalFlyingdutchman op zaterdag 5 november 2011 11:22]
Is er daarvoor ook zoiets niet als antivirusprogramma's ? Mss dat men daar eens in moet investeren...Avira (zonder reclame te maken) kon ook duqu opsporen.
Ik vind dat het nogal kort door de bocht is om alle schuld op de Os-leverancier af te schuiven... 100% waterdicht bestaat niet in de ICT...
Ik vind dat het nogal kort door de bocht is om alle schuld op de Os-leverancier af te schuiven... 100% waterdicht bestaat niet in de ICT...
Nederland loopt al ver voor als het gaat om AV gebruik, dus daar ligt het niet aan.
Het is en blijft een feit dat overal wel een fout in zit, ieder OS en eigenlijk alle software.
Btw. Ik vraag mij af wanneer die hack wedstrijden weer gehouden worden daar kwam (dacht ik) steeds uit dat Mac het makkelijkst te hacken was.
Het is en blijft een feit dat overal wel een fout in zit, ieder OS en eigenlijk alle software.
Btw. Ik vraag mij af wanneer die hack wedstrijden weer gehouden worden
daar kwam (dacht ik) steeds uit dat Mac het makkelijkst te hacken was.Virusscanners werken door bepaalde patronen te herkennen.
Is de code nieuw dan wordt het niet herkend.
In het geval van custom malware heb je helemaal niks aan een virusscanner.
Zie STUXNET.
Is de code nieuw dan wordt het niet herkend.
In het geval van custom malware heb je helemaal niks aan een virusscanner.
Zie STUXNET.
Avira zag zichzelf laatst als mallware..dus zo goed is die weer niet
Het lijkt mij inderdaad erg verstandig dat de Nederlandse overheid -experts in IT veiligheid- heel veel energie steekt in dit plan. Dit wordt sowieso het volgende IT related succes, want daar zijn er al zo veel van. Goed bezig Den Haag!
Den Haag weet hoe het moet!
/sarcasm
Den Haag weet hoe het moet!
/sarcasm
[Reactie gewijzigd door Datafeest op zaterdag 5 november 2011 11:23]
Dit wordt fantastisch! Dit is echte bananenrepubliek politiek, ik verheug me er nu al op. Stel je voor: bij elke patchronde worden 'verantwoordelijken' van Adobe, Microsoft, Google, Apple, Oracle en diverse vrijwilligers van Linux, Apache, Mozilla, etc op het matje geroepen bij de 2e Kamer. Daar stamelen ze allemaal iets over 'complexe software heeft altijd fouten', waarna een strenge volksvertegenwoordiger uitlegt dat het land besturen ook complex is, maar zie je hen fouten maken? Na een lange preek over corporate responsibility en een "niet meer doen he?" waarschuwing verlaten ze met gebogen hoofd weer het pand. De camera's snorren, het volk applaudisseert: weer een probleem opgelost.
[Reactie gewijzigd door Dreamvoid op zaterdag 5 november 2011 12:50]
Dan krijgt "Campzone" toch weer een hele nieuwe betekenis als je jouw hypothetische toekomst verder uitwerkt .
.Ja wij zijn bezig een bananenrepubliek te worden.Dit wordt fantastisch! Dit is echte bananenrepubliek politiek,
Weet je eigenlijk wel wat een bananenrepubliek is? Uit je verhaal op te maken roep je maar wat zonder na te denken.
Een bananenrepubliek is een land dat volledig afhankelijk is gemaakt van de bananenproductie door een grote corporatie die alles bezit tot en met de regering.
Één of enkele grote corporaties (monopolisten) die de dienst uitmaken, de regering doet wat zij wil(len). De rechten van de burgers zijn dan weinig meer waard.
In PC-land geldt dat ook voor monopolist Microsoft. Ze verdienen miljarden aan een onveilig systeem, maar de overheid pakt ze niet aan. Ze neemt wel haar producten af, rust het onderwijs er mee uit, maar durft geen eisen te stellen. Als je dat laat voortduren, dan ben je inderdaad een bananenrepubliek en geen rechtstaat
Voor de mensen die het nog niet begrijpen: De staat is er om de belangen van ALLE burgers te beschermen en niet alleen die met een hoop geld, omdat ze zichzelf zo belangrijk en superieur vinden. En zeker ook niet de belangen van buitenlandse corporaties die hebzucht (winst) als belangrijkste oogmerk hebben. Als we die kant opgaan zijn wij zeker geen rechtstaat meer, maar worden wij een bananenrepubliek
[Reactie gewijzigd door Magalaan op zaterdag 5 november 2011 16:41]
En wij doen niet precies wat de bedrijven in Nederland willen?
Ons hele stelsel is gebaseerd op het "economie" van de bedrijven en de werknemers zijn maar bijzaak.
Wat men verstaat onder bananenrepubliek is gewoon "het niet geheim houden van" maar feitelijk verschilt er weinig met onze levens stijl
Ons hele stelsel is gebaseerd op het "economie" van de bedrijven en de werknemers zijn maar bijzaak.
Wat men verstaat onder bananenrepubliek is gewoon "het niet geheim houden van" maar feitelijk verschilt er weinig met onze levens stijl
Amai dat men al zo diep in de code kan hacken dat malware via een font binnengeraakt is straf, Hoe meer van dit soort berichten ik lees hoe meer ik mij afvraag wat we niet weten. Niet dat ik paranoia ben maar het gaat toch ver hoor.
Als windows niet veilig genoeg is moeten ze maar iets anders nemen. Populariteit heeft zijn prijs.
Als windows niet veilig genoeg is moeten ze maar iets anders nemen. Populariteit heeft zijn prijs.
[Reactie gewijzigd door manuarmata op zaterdag 5 november 2011 11:32]
In het kort: Je moet er vanuit gaan dat alles wat op je computer(s, inclusief mobiele telefoons en dergelijke) opgeslagen is of gedaan wordt is nooit 100% veilig. Als het gaat om apparaten die verbonden zijn met een netwerk op welke manier dan ook, dient men voorzichtig te werk te gaan en met mate gevoelige informatie gebruiken.
Als je gebruikt maakt van bepaalde luxe moet je begrijpen en accepteren (ook al ben je er misschien niet gelukkig mee) dat je zelf je privacy iets meer open zet dan normaal. Dit geldt zelfs voor het gebruik maken van het OV of publieke omgevingen, overal hangen tenslotte camera's tegenwoordig. Daar krijg je ook geen brief van waar je gefilmd ben en wie deze informatie in handen krijgt.
Het is niet iets wat we klakkeloos moeten accepteren, maar wel bewust van moeten zijn zodat we ons daar kunnen beschermen waar wij dit nodig vinden.
Als je gebruikt maakt van bepaalde luxe moet je begrijpen en accepteren (ook al ben je er misschien niet gelukkig mee) dat je zelf je privacy iets meer open zet dan normaal. Dit geldt zelfs voor het gebruik maken van het OV of publieke omgevingen, overal hangen tenslotte camera's tegenwoordig. Daar krijg je ook geen brief van waar je gefilmd ben en wie deze informatie in handen krijgt.
Het is niet iets wat we klakkeloos moeten accepteren, maar wel bewust van moeten zijn zodat we ons daar kunnen beschermen waar wij dit nodig vinden.
[Reactie gewijzigd door Arcticwolfx op zaterdag 5 november 2011 11:29]
Het veiligste is nog steeds vulpen/potlood en papier zelfs balpennen zijn uit te rusten met hardware dat ze je schrijven kunnen opnemen.
zelfs balpennen zijn uit te rusten met hardware dat ze je schrijven kunnen opnemen.Potlood is erg onveilig - het is te wissen!
Het bureau bescherming privacy ziet erop toe dat instanties niet meer gegevens opslaan dan strikt noodzakelijk en deze gegevens niet verstrekken aan derden, buiten wat is vastgelegd en wettelijk toegestaan. Dat is bij wet geregeld.Dit geldt zelfs voor het gebruik maken van het OV of publieke omgevingen, overal hangen tenslotte camera's tegenwoordig. Daar krijg je ook geen brief van waar je gefilmd ben en wie deze informatie in handen krijgt.
Filmen in de openbare ruimte is in principe verboden, slechts toegestaan in bijzondere omstandigheden en dan staat dat ook met borden aangeduid.
[Reactie gewijzigd door denkster op zaterdag 5 november 2011 22:20]
Dus Mevrouw Gesthuizen gebruikt ook Word en nu moet de regering Microsoft maar eens aanspreken.
Focus liever zelf op veiligheid op je eigen computer zodat malware er niet op kan. Net alsof Nederland er bij gebaat is "een hartig woordje" met Microsoft te hebben.
Ik kan het niet goed verwoorden maar heb een raar gevoel bij een artikel als deze. Als de regering hier op in gaat vind ik dat onprofessioneel en bovendien een afleiding van belangrijkere zaken waar ze aan moeten werken.
Focus liever zelf op veiligheid op je eigen computer zodat malware er niet op kan. Net alsof Nederland er bij gebaat is "een hartig woordje" met Microsoft te hebben.
Ik kan het niet goed verwoorden maar heb een raar gevoel bij een artikel als deze. Als de regering hier op in gaat vind ik dat onprofessioneel en bovendien een afleiding van belangrijkere zaken waar ze aan moeten werken.
[Reactie gewijzigd door Arcticwolfx op zaterdag 5 november 2011 11:40]
Kamerleden hebben sowieso de neiging om onzinnige discussies te voeren of van alles en nogwat (bijvoorbeeld Mauro), met ons belastinggeld. Ze zijn er om wetgeving te maken, niet om individuele gevallen te beoordelen, daar is ons rechtssysteem voor.
En wat betreft dit Microsoft gebeuren, software bevat nu eenmal bugs en gaten, daar ontkom je niet aan. Microsoft stopt al miljarden in de beveiliging van hun software.
Kamerleden beginnen steeds meer de grip op de werkelijkheid te verliezen heb ik het idee.
En wat betreft dit Microsoft gebeuren, software bevat nu eenmal bugs en gaten, daar ontkom je niet aan. Microsoft stopt al miljarden in de beveiliging van hun software.
Kamerleden beginnen steeds meer de grip op de werkelijkheid te verliezen heb ik het idee.
[Reactie gewijzigd door OriginalFlyingdutchman op zaterdag 5 november 2011 11:29]
Inderdaad, waar bemoeit ze zich mee? Hoeveel IT-kennis heeft die Sharon Gesthuizen eigenlijk?
En waarom zou dit niet Europees geregeld moeten worden?
"Het SP-Kamerlid wil dat de regering richtlijnen uitvaardigt om kritieke lekken in besturingssystemen als Windows en software als Microsoft Word te voorkomen. Sharon Gesthuizen zegt zich wel ervan bewust te zijn dat software altijd lekken kan bevatten"
Dus daarmee geeft ze al aan dat dit plan praktisch niet uitvoerbaar is...
En waarom zou dit niet Europees geregeld moeten worden?
"Het SP-Kamerlid wil dat de regering richtlijnen uitvaardigt om kritieke lekken in besturingssystemen als Windows en software als Microsoft Word te voorkomen. Sharon Gesthuizen zegt zich wel ervan bewust te zijn dat software altijd lekken kan bevatten"
Dus daarmee geeft ze al aan dat dit plan praktisch niet uitvoerbaar is...
De verschillende Linux distributies worden ook regelmatig gepatched en daar hoor je (bijna) niemand over klagen (ook Gesthuizen niet) ..
De SP heeft zijn roots in het communisme en een dergelijke politieke overtuiging vloekt nu eenmaal met een groot-kapitalistisch bedrijf als MS
Reden genoeg voor mij dus om Gesthuizen niet serieus te nemen.
De SP heeft zijn roots in het communisme en een dergelijke politieke overtuiging vloekt nu eenmaal met een groot-kapitalistisch bedrijf als MS
Reden genoeg voor mij dus om Gesthuizen niet serieus te nemen.
Zeg eens: worden deze mensen geadviseerd door experts of reageren ze gewoon zonder kennis van zaken op een opvallend nieuwsartikel? :\
Fail, maar langs de andere kant: in Nederland kan er tenminste éen regering éen bedrijf op het matje roepen. (We zitten hier in België aan dag 510 ondertussen...)
Fail, maar langs de andere kant: in Nederland kan er tenminste éen regering éen bedrijf op het matje roepen. (We zitten hier in België aan dag 510 ondertussen...)
Ik dat Microsoft de volgende Mauro wordt in de Tweede Kamer....
Maar i.t.t. Mauro kan Microsoft wel wat terugdoen. Gewoon stoppen met NL taal ondersteunen met reden dat de NL overheid een veiligere omgeving wil hebben. Daar is geld voor nodig, dus besparen op een kleine groep klanten die geen EN wil gebruiken. Dan begint de SP weer over dat ze die EN teksten niet snappen. Of MS gooit de prijzen omhoog en de SP begint te mekkeren dat het allemaal belachelijk duur is.
Als ik MS was zou ik me hier niets van aantrekken. Het gaat hier om een utopie. En bovendien weten de meeste mensen te weinig van een computer en software om maar enig recht van spreken te hebben over veiligheid. Als ze eens wisten hoeveel potentieel gevaarlijke acties van henzelf de software moet opvangen elke dag, zouden ze misschien eens wat respect tonen voor de makers ervan.
Als ik MS was zou ik me hier niets van aantrekken. Het gaat hier om een utopie. En bovendien weten de meeste mensen te weinig van een computer en software om maar enig recht van spreken te hebben over veiligheid. Als ze eens wisten hoeveel potentieel gevaarlijke acties van henzelf de software moet opvangen elke dag, zouden ze misschien eens wat respect tonen voor de makers ervan.
"Het is hoog tijd dat softwarefabrikanten maatregelen nemen om te voorkomen dat vanuit software applicaties zoals Word, elementaire onderdelen van het besturingssysteem tegen de wil van de gebruiker gemanipuleerd kunnen worden"
Ja, want die bedrijven zorgen namelijk expres dat deze onderdelen "gemanipuleerd" kunnen worden!
Zucht.
Foutvrije software wil iedereen, zowel de gebruiker als de fabrikant. Dan is het leuk dat men "richtlijnen" wil maken, maar ik zie niet in hoe dat de situatie zal veranderen. 2x zo lang bughunten kost tijd, geld, en remt de verdere ontwikkeling van producten mijns inziens. Maar wellicht had mevrouw Gesthuizen nu wel liever met een 100% bugvrije Office 97 gewerkt
Ja, want die bedrijven zorgen namelijk expres dat deze onderdelen "gemanipuleerd" kunnen worden!
Zucht.
Foutvrije software wil iedereen, zowel de gebruiker als de fabrikant. Dan is het leuk dat men "richtlijnen" wil maken, maar ik zie niet in hoe dat de situatie zal veranderen. 2x zo lang bughunten kost tijd, geld, en remt de verdere ontwikkeling van producten mijns inziens. Maar wellicht had mevrouw Gesthuizen nu wel liever met een 100% bugvrije Office 97 gewerkt
Zoals ik in een andere reactie stel, kan je wel degelijk nalatigheid vermoeden.
Programmeurs dienen opgeleid te zijn om geen blunders te begaan die het uitvoeren van data in de hand werken. Soms is het zoiets simpels als een bufferoverloop omdat een sukkel "strcpy" gebruikte, of een SQL-exploit omdat iemand de invoer niet escapete.
Met goede opleidingen en interne audits kan je wel degelijk iets aan zulke problemen doen. Probleem is dat het geld kost, maar eigenlijk is dat geen probleem. Maak de boete maar gewoon hoger dan de kosten van degelijke softwareontwikkeling en -controle.
Programmeurs dienen opgeleid te zijn om geen blunders te begaan die het uitvoeren van data in de hand werken. Soms is het zoiets simpels als een bufferoverloop omdat een sukkel "strcpy" gebruikte, of een SQL-exploit omdat iemand de invoer niet escapete.
Met goede opleidingen en interne audits kan je wel degelijk iets aan zulke problemen doen. Probleem is dat het geld kost, maar eigenlijk is dat geen probleem. Maak de boete maar gewoon hoger dan de kosten van degelijke softwareontwikkeling en -controle.
Microsoft ter verantwoording roepen.... hilarisch! Wellicht moeten de getroffen bedrijven even kijken in hun 'contract' met Microsoft (de EULA waar ze nextnextnext doorheen geklikt hebben), misschien staat daar wel in dat MS garandeert dat dit nooit voor zal komen.
En anders stap je lekker over op een ander platform toch?
(edit: lol, in 5 min tijd 10+ reacties met dezelfde strekking )
En anders stap je lekker over op een ander platform toch?
(edit: lol, in 5 min tijd 10+ reacties met dezelfde strekking
)[Reactie gewijzigd door Sebas1979 op zaterdag 5 november 2011 11:29]
Een EULA is niet per definitie rechtsgeldig; de lokale wet gaat vaak boven eventueel strijdige passages in de EULA.
Ik denk dat wat er in de nederlandstalige EULA wel degelijk rechtsgeldig is. Er loopt in NL genoeg volk rond dat werkt voor MS waaronder een hoop advocaten, zo een product word echt niet met een simpel tekstje verscheept. Probeer de EULA maar eens door te lezen zou ik zeggen.
Nee. Je kan het niet lezen voor aankoop wat de EULA automatisch ongeldig maakt. Wat er ook in staat.
Aangezien ik de wet niet tot op de letter kan interpreteren, heeft het voor mij weinig zin om de EULA uit te spellen. Ik hoor echter zo nu en dan van dergelijke overeenkomsten (inderdaad moet je ze vantevoren kunnen inzien zoals hackerhater al meldt) waar dingen ingezet zijn, per ongeluk of expres, die strijdig zijn met de wet. Een rechter laat de wet dan doorgaans prevaleren boven de overeenkomst. Ook bij algemene voorwaarden en huurovereenkomsten (toch ook opgesteld door juristen) hoor je daar nog wel eens van.
Op dit item kan niet meer gereageerd worden.
Populair: Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
