Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 163 reacties, 26.486 views •

De fractie van de SP in de Tweede Kamer wil dat de regering Microsoft ter verantwoording roept over lekken in Windows. Dat blijkt uit Kamervragen die SP-Kamerlid Gesthuizen stelt naar aanleiding van berichtgeving op Tweakers.net.

Het SP-Kamerlid wil dat de regering richtlijnen uitvaardigt om kritieke lekken in besturingssystemen als Windows en software als Microsoft Word te voorkomen. Sharon Gesthuizen zegt zich wel ervan bewust te zijn dat software altijd lekken kan bevatten. "Het is hoog tijd dat softwarefabrikanten maatregelen nemen om te voorkomen dat vanuit software applicaties zoals Word, elementaire onderdelen van het besturingssysteem tegen de wil van de gebruiker gemanipuleerd kunnen worden", aldus het Kamerlid tegen Tweakers.net.

Met lek in Word verwijst Gesthuizen naar de malware Duqu, waarmee onbekenden hebben gespioneerd op bedrijven in Nederland. Daarbij ging het hoogstwaarschijnlijk om een toeleverancier van het leger, onthulde Tweakers.net vrijdag. Duqu is een variant op Stuxnet, het virus waarmee in Iran computers in kerncentrales zijn besmet. Stuxnet staat bekend als de meest geavanceerde malware die ooit is gemaakt.

Gesthuizen wil van de verantwoordelijk minister weten of Duqu veel impact heeft gehad in Nederland, of het uitgesloten is dat Duqu gericht is op bijvoorbeeld Nederlandse nutsbedrijven of militaire installaties en wie de trojan heeft gemaakt. Gesthuizen zal de vragen waarschijnlijk dinsdag tijdens het vragenuurtje gaan stellen.

Duqu maakt gebruik van een lek in Windows, dat werkt via het renderen van TrueType-fonts in tekstverwerker Word. Het lek stelt een aanvaller in staat code op kernel-niveau uit te voeren. De kwetsbaarheid kan waarschijnlijk ook in andere programma’s dan Word worden misbruikt; mogelijk zelfs op websites. Het is niet duidelijk of de Word-methode ook in andere gevallen is toegepast. De Windows Server-versie zonder gui is niet getroffen door het beveiligingsprobleem, omdat die geen fonts hoeft te parsen.

Reacties (163)

Reactiefilter:-11630153+1112+213+30
Moderatie-faq Wijzig weergave
1 2 3 ... 6
Is er daarvoor ook zoiets niet als antivirusprogramma's ? Mss dat men daar eens in moet investeren...Avira (zonder reclame te maken) kon ook duqu opsporen.
Ik vind dat het nogal kort door de bocht is om alle schuld op de Os-leverancier af te schuiven... 100% waterdicht bestaat niet in de ICT...
Nederland loopt al ver voor als het gaat om AV gebruik, dus daar ligt het niet aan.
Het is en blijft een feit dat overal wel een fout in zit, ieder OS en eigenlijk alle software.

Btw. Ik vraag mij af wanneer die hack wedstrijden weer gehouden worden :) daar kwam (dacht ik) steeds uit dat Mac het makkelijkst te hacken was.
Virusscanners werken door bepaalde patronen te herkennen.
Is de code nieuw dan wordt het niet herkend.
In het geval van custom malware heb je helemaal niks aan een virusscanner.
Zie STUXNET.
Avira zag zichzelf laatst als mallware..dus zo goed is die weer niet ;)
"Het is hoog tijd dat softwarefabrikanten maatregelen nemen om te voorkomen dat vanuit software applicaties zoals Word, elementaire onderdelen van het besturingssysteem tegen de wil van de gebruiker gemanipuleerd kunnen worden"

Het is echt hoog tijd inderdaad, en op elke verpakking van software moet ook met een grote rode sticker staan hoeveel beveiligingslekken erin staan! Nu zitten er lekken in zonder dat de consument dat weet!

Het is ook hoog tijd dat autofabrikanten eens auto's maken waarvan geen elementaire onderdelen ingeslagen kunnen worden zodat tegen de wil van de gebruiker zijn autoradio kan worden ontvreemd.

Het is hoog tijd dat deurbelfabrikanten maatregelen nemen om te voorkomen dat deze tegen de wil van de gebruiker kan worden ingedrukt, zeker 's ochtends!

Het is hoog tijd dat mobiele netwerkleveranciers eens maatregelen nemen om te voorkomen dat tegen de wil van de gebruiker het netwerk uitvalt!

Het is hoog tijd dat broodfabrikanten maatregelen nemen om te voorkomen dat elementaire onderdelen beschimmelen tegen de wil van de gebruiker in.
In jouw cynische voorbeelden vergeet je te vermelden dat jouw voorbeelden binnen de specificaties van de producten vallen (ja ook dat een autoraam ingeslagen kan worden of dat een GSM-verbinding wegvalt).

Fouten in software zijn vrijwel nooit binnen de specificaties, en zijn gewoon ontwerpfouten.

Software is zo complex dat het nooit helemaal mogelijk zal zijn om ontwerpfouten te voorkomen, maar een stimulans (zoals boete of schadeclaim) om zorgvuldiger te programmeren is natuurlijk nooit weg.
Jammer, die suggestie van de SP. Soms hebben ze wel zinnige opmerkingen, maar dit is wel een kwestie waar de SP niet goed over nagedacht heeft.


Allereerst is daar het juridische aspect. Volgens de welbekende eindgebruikerslicenties is geen enkele software fabrikant (van de signatuur van Microsoft) aansprakelijk voor wat voor gebreken aan zijn product dan ook. Je kan ze "aanspreken" wat je wilt, ze zijn op geen enkele manier verplicht tot wat dan ook. Direct effect is dus nul. Daar zit de SP misschien niet mee, maar helpen doet het in elk geval niet.


Nu zou je kunnen zeggen dat een dergelijk "aanspreken" van software fabrikanten op den duur wel politieke en dus juridische consequenties zou moeten hebben. Helaas. De machtspositie die de SP eventueel (Nederland) zou kunnen mobiliseren weegt niet op tegen het enorme nadeel dat software fabrikanten zouden oplopen als zij hun software zouden gaan garanderen tegen fouten of lekken. Dus ook op langere termijn zal de juridische situatie niet verschuiven, simpelweg omdat (a) software fabrikanten andere markten openstaan die niet van dit soort eisen stellen, en (b) software fabrikanten dit risico (bij de huidige stand van de techniek) echt niet kunnen dragen.


Helaas is er toch iets anders dat software fabrikanten, te beginnen met Microsoft, wel met plezier en graagte zouden aanbieden als antwoord op de klachten van de SP. Namelijk: verdergaande inperking van de individuele vrijheid van computergebruikers. Eerst was daar het Palladium initiatief voor "trusted computing" (Google dat maar als je het niet weet), en nu kijken we uit op UEFI (waar de afgelopen weken nogal wat over te doen is geweest).


Software fabrikant kunnen stellen dat om meer veiligheid te garanderen (zoals de SP wil) het technisch noodzakelijk is om hardwarematige bescherming aan te brengen die het draaien van ongeauthoriseerde software tegengaat (of zelfs onmogelijk maakt). En daar is moeilijk wat op af te dingen. Kijk maar hoveel moeite je moet doen om een X-box of een Playstation te kraken en daar iets anders op te draaien dan officiele software.


Om de "algemene veiligheid" te bevorderen zou je dus zeer wel het standpunt kunnen innemen dat iets als UEFI *wettelijk verplicht gesteld moet worden*. En dan liefst *zonder* mogelijkheden om het uit te schakelen.


Het nadeel is alleen dat dit fundamenteel de machtsbalans doet doorslaan in het voordeel van "de fabrikanten" en "de software leveranciers", en in het nadeel van de individuele gebruiker die wil dat *zijn* apparaat onvoorwaardelijk doet wat *hij* wil. Ik weet niet of de SP zich realiseert dat dit de logische consequentie is van hun geroep om "Microsoft aan te spreken", maar ik ga ervan uit dat ze deze link nog niet gelegd hadden.


Helaas zit het diep in het denken van partijen als de SP verankerd om individuele vrijheden in te perken wanneer daar een collectief doel mee gediend kan worden. En dat is in dit geval een erg kortzichtige en gevaarlijke benadering. En waarom?


Er zijn immer hele grote zakelijke en politieke belangen gemoeid bij het aan de ketting leggen van de chaos (lees: individuele vrijheid) die nu heerst op het PC platform.


Waar moet je dan aan denken? Wel om te beginnen zakelijke belangen zoals DRM ("digital rights management") handhaving (lees: marginalisering van niet door uitgevers geauthoriseerde content, daardoor grote versterking marktpositie uitgevers, en daarmee opbrengst maximalisatie voor alle betaalde content, met opties op het instellen van "pay per view" i.p.v. eenmalige licenties etc. etc.).

Vervolgens vervolgens de "targeted advertising", die immers staat of valt bij de controle over de machine waar je mee werkt.

Dan het meer politiek getinte belang om als individu rechtstreeks contact op te nemen met willekeurige wederpartijen op het Internet (al dan niet geauthoriseerd). Het venijn zit 'm hierbij in het woordje "allerlei". Daaronder vallen b.v. goksites, porno sites, kinderporno sites, warez sites, extremistische sites. Maar ook sites van politiek andersdenkenden zoals b..v. pro-abortus sites in de VS en Katholieke landen, Westerse sites in landen als China, Iran, en Noord Korea, sites van oppositie-groeperingen in Rusland, sites die de Communistische Partij bekritiseren in b.v. China etc. etc. etc.
Veel van dit soort sites wordt geblokkeerd op DNS niveau. Iedereen die wat van netwerken afweet lacht daarom en omzeilt dat soort blokkades. Maar wat als de ontwerper van je operating systeem het je onmogelijk maakt omsites te bezoeken anders dan via een geauthoriseerd DNS? Einde oefening voor iedereen die overheidsblokkades op sites wil omzeilen. En dat is wat je riskeert als je de huidige chaos wilt indammen.


Om in dit krachtenveld een klimaat te scheppen waarin het uitruilen van persoonlijke vrijheid bespreekbaar gemaakt wordt voor veiligheid (ten behoeve van wat oppervlakkig politiek gewin) vind ik onverantwoord.
Eindelijk! OS-leveranciers moeten eindelijk eens verantwoordelijk gesteld worden voor hun ontwerpfouten m.b.t. veiligheid. Zoals de de startpost al zegt is een sandbox systeem een must. Andere ontwerptfouten zijn het toestaan van binaire executables om software te installeren. Hierdoor is niet vooraf te controleren wat een setup.exe of uninstall.exe doet en wat deze wijzigt.

Ook de registry is een debiel systeem waarbij 90% van de sleutels en mogelijke waarden niet beschreven is. Kennelijk staat het OS gewoon toe dat applicaties nieuwe (versleutelde) configuratie parameters wegschrijven waarvan de eigenaar van het systeem niet weet of deze relevant zijn.
Nou ja zeg. Als je een "sandbox" systeem wil kan dat gewoon geïnstalleerd worden hoor. Dat kan jij, dat kan een regering ook. Deze mevrouw Gesthuizen wil even interessant doen maar weet niet waar zij het over heeft. Zij wil of Microsoft de schuld geven dat er Malware op een computer terechtkomt, of zij wil Microsoft even vertellen dat ze de software 100% veilig moeten aanleveren.

Als men het allerminst beetje verstand heeft van Software dan weet men dat dit een belachelijk ultimatum is. Misschien moet mevrouw Gesthuizen gewoon lekker zijn door overheid geschonken iPad2 blijven gebruiken en zich bezig houden met zaken waar hij wel verstand van heeft, misschien Facebook of AngryBirds.

Hoe dan ook, als deze reactie inderdaad naar aanleiding is van een T.net artikel, wordt wel duidelijk dat deze mevrouw geen Tweaker is. Misschien realiseert zij zich dat dan ook als zij dit artikel met reacties leest.
Nou ja zeg. Als je een "sandbox" systeem wil kan dat gewoon geïnstalleerd worden hoor.
Vanaf Windows Vista word er deels al gebruik gemaakt van sandboxing, onder andere door het gebruik van %AppData% en het ontkennen van schrijrechten in %ProgramFiles% voor applicaties. Er zijn echter honderden, zoniet duizenden, applicaties aan te wijzen die daar niet mee overweg kunnen.
Ik denk niet dat zij zich dat zou moeten realiseren. Hoewel het erg democratisch is om je mening te laten hangen naar deze reacties, garandeert niemand de kennis van de reageerders. Ze kan beter naar een universiteit lopen en rapport laten opmaken.
Oke, dan maakt MS van Windows 9 een compleet veilig systeem, zonder bugs, zonder exploits en zonder registry. En dan is het ineens "oops, al onze software van de afgelopen 10~15 jaar werkt niet meer" en worden daar weer kamervragen over gesteld.
De software van de afgelopen 10-15 jaar kan prima in virtual machines en sandboxes draaien. Tegenwoordig geheugen genoeg en meer dan genoeg processor kracht, zeker wanneer W9 eens een keer uitkomt. Er wordt inderdaad enorm veel gedaan aan legacy ondersteuning, maar dat is precies waar de klanten (waaronder de staat en de kiezers) om vragen, want die willen graag nog 10-15 jaar met dezelfde database applicatie werken (Access 97/2003 bv.). En inderdaad als de huidige software niet meer goed draaid gaat er inderdaad tegen die tijd weer een of andere politicus over gillen. Geklaag zal je altijd wel houden.

Als er dus fouten zitten in de Linux kernel of de server waarop deze wordt ontwikkeld wordt gehacked, willen ze Linus op het matje laten komen? Of als er gaten zitten in MacOS willen ze zeker Steve Jobs... Oh.. Wait...

One of many examples: DigiD
Die sandbox is er al lang.
Mogelijk moet de overheid er alleen in investeren. Zoals het gebruik van App-V wat gratis is bij een SA contract op de werkstation en sowieso gratis is bij gebruik van TS.

Daarnaast, als de UAC aan staat, denk ik dat een groot gedeelte van de problemen zich al oplossen. Met UAC aan kan een applicatie namelijk niet zomaar op kernel niveau zaken uitvoeren.

Dus:
1. weet waar je het over hebt voordat je zulke uitspraken doet
2. zorg dat je systemen up-to-date zijn en zeker nu toch wel geupgrade worden naar win7 en win2008. Een huis met een slot uit 2001 is ook makkelijker te hacken door fouten in het slot.
Het probleem met UAC is, is dat de applicatie in principe alles kan vragen aan de gebruiker en dat in de praktijk de gebruiker doodleuk op OK drukt. Dan is het systeem van Android beter, waar bij installatie vooraf getoond wordt wat de App allemaal kan doen.
Het wordt tijd dat Windows ook met een soort Sandbox komt waarbij je de rechten kan bepalen per applicatie. Waarom zou Word toegang moeten hebben tot het volledige systeem? Internet en schrijfrechten is voldoende lijkt mij...

Ot: Beetje naief is het wel van deze SP Juf, exploits zitten zoals ze zegt wel vaker in software. Je kan als overheid jezelf beter afvragen of je cruciale systemen wel Windows moeten laten draaien of toegang tot het internet / usb moet geven.

[Reactie gewijzigd door poepkop op 5 november 2011 11:40]

Word heeft geen toegang tot het hele systeem: het was een exploit.

Belachelijk overigens. Net alsof software fabrikanten hier niks om geven. En wat gaat de regering dan doen, zeggen "nou microsoft, jullie mogen geen bugs meer in je software hebben!" ... "Oh, meverouw Gesthuizen, wat slim! Daar hebben we nou nog nooit aan gedacht! We stoppen per direct met het maken van fouten."

Ach, windows is ook maar iets van 50 miljoen regels code, zo'n 900.000 paginas geprint. Misschien kunnen ze er een stagiaire opzetten van de winter om de fouten eruit te vissen.

[Reactie gewijzigd door Zoijar op 5 november 2011 11:39]

Precies, zometeen durft niemand meer software te schrijven en uit te geven omdat men bang is voor exploits. Ze zouden wat meer naar eigen producten moeten kijken zoals die ov-chipkaart, dig id. Over lek als een mandje gesproken...
zometeen durft niemand meer software te schrijven en uit te geven omdat men bang is voor exploits
Dikke onzin natuurlijk. Informatica-inginieurs hebben een 'luizenleventje' vergeleken bij 'normale' inginieurs.

Kijk naar Tchernobyl: Zijn er daarna nooit meer kerncentrales gebouwd omdat men bang was aansprakelijk gesteld te worden?

Kijk naar de EULA's van Windows: MSFT vind zichzelf niet aansprakelijk voor problemen in door het ontwerp van haar software! Dus de burger draait op voor de kosten en problemen.

Stapt u in een Boeing / Airbus, als Boeing / Airbus u een verklaring laat tekenen waarin ze zeggen niet aansprakelijk te zijn voor ontwerp-fouten? En als ze zeggen: Ja sorry hoor, maar een vliegtuig bouwen zonder fouten is onmogelijk, een foutmarge van 1 op de 1000 maten en 1 op de 1000 kabeltjes (van 100 000)in onze ontwerp-tekeningen ligt onder het industrie-gemiddelde".

Kijk naar TEPCO: Na het debacle in Japan betalen ze miljarden aan schadeclamis, omdat hun ontwerp niet deugde.

Kijk naar de HSL: Het ontwerp van de software (of de ERTMS-standaard) deugde niet. Wie betaalt dat, de software-ontwikkelaars? Nee, want in software kunnen fouten worden gemaakt, dus nu is de HiSpeed Alliantie door alle vertragingen en blunders van informatici / politici praktisch failliet.

Kijk naar artsen: Als zij door "slordigheid" 1 op 1000 mensen onnodig laten doodgaan bij operaties, gaan zij dan voortaan mensen een licentie laten tekenen waarin ze 'aansprakelijkheid disclaimen' zoals MSFT? Zou de maatschappij dat tolereren?

Toyota: Als er wat gebreken zijn en mensen beweren dat ze daardoor ongelukken hebben gehad / anderen om het leven komen, wordt dan gezegd: Ja sorry foutje van Toyota - kan gebeuren? Nee, ze zijn daarvoor aansprakelijk gesteld. Bleek overigens niet Toyota's fout te zijn.

Balkons in Maastricht: Toen die waren ingestort en twee mensen overleden door fouten in controle / uitvoering van aannemer, zei de aannemer: "Daarvoor weigeren we aansprakelijkheid?" Nee, die aannemer kreeg een dikke boete wegens nalatigheid.

Met andere woorden: Waarom wordt het van ingenieurs niet getolereerd dat ze fouten maken, en van programmeurs wel? Doen ingenieurs soms makkelijker werk?

Waarom moeten ingenieurs-bureaus die fouten maken in fysieke constructies betalen als ze nalatig zijn geweest, en programmeurs niet?

Software-makers moeten stoppen dikke boehoe te doen en beweren dat wat zij doen zo 'ingewikkeld is' en niet zonder fouten kan. Turlijk, fouten zijn menselijk. En werknemers persoonlijk aansprakelijk stellen voor fouten gaat te ver. Maar smoesjes voor nalatigheid van programmeurs zouden we als maatschappij niet meer moeten tolereren, want dat doen we ook niet van artsen en ingenieurs.

Het wordt tijd dat de software-industrie eindelijk volwassen wordt, haar verantwoordelijkheid neemt en stopt broddelwerk af te leveren wat van andere beroepsgroepen absoluut niet getolereerd zou worden.

Als Microsoft zo'n amateuristisch pruts-bedrijf is dat ze dat niet kunnen, dan moeten ze eens wat vaker bij fatsoenlijke bedrijven op bezoek gaan die hun ontwerp/controle processen wél op orde hebben. En als het allemaal te complex is om te managen, moeten ze misschien de boel gewoon eens wat minder complex maken, want een ruimtestation dat ontploft 'omdat het ontwerp door de complexiteit onbeheersbaar was geworden' wordt niet getolereerd, dus waarom wel van een OS?

De maanlanding werd immers ook gedaan met ca ~35kb RAM, en daar ging het immers al bijna mis met de software, dus die 10+GB van Win7 moet een nachtmerrie zijn qua beheersing. En hoe kan het eigenlijk dat zo ongeveer het armste besturings-systeem (OpenBSD) wél preventieve code-audits ieder jaar uitvoert en preventief buffer-overruns voorkomt door o.a. het vervangen van unsigned int door signed int? Waarom heeft een onderzoeks / hobbyprojectje als CoyotOS wel een veel hogere EAL-certificering dan Windows, terwijl er in laatste veel meer geld omgaat?

Betere technieken dan de achterhaalde jaren '70 meuk uit Windows / Linux bestaan er dus al vrij lang, zoals 'capability based microkernel', EAL-certificering e.a.
Maar helaas gaat MSFT voor de 'one size fits all' benadering waarbij alle klanten hetzelfde krijgen voorgeschoteld (stel je voor dat Airbus hetzelfde vliegtuig moest leveren aan luchtvaartmaatschappijen, zakenlui-privejets en leger) en gebruiksgemak vaak belangrijker is dan veiligheid (o.a. pin-automaten / nucleaire onderzeeers / industriele systemen voor kerncentrales op Windows).

En hier wordt met droge ogen beweerd dat software-makers liefst systemen willen maken zonder bugs, maar dat betwijfel ik. Wordt een programmeur / software-bedrijf meer / minder betaalt aan de hand van de kwaliteit van hun werk? Meestal niet, Windows wordt toch wel voorgeinstalleerd opgedrongen aan de consument, ongeacht de kwaliteit en de vraag of de consument het wel of niet wil (zie Vista). Dus programmeurs worden helemaal niet aangemoedigd bugvrije software te schrijven; hooguit zoveel zo snel mogelijk.

Net als het patent-kantoor. De resulterende chaos en maatschappelijke kosten van al die "intellectuele vervuiling" laat zich raden. Stel dat de makers van Borssele zo werden betaald (per gemaakte tekening en bonus als 't eerder af is), zou u dan nog graag naast die centrale wonen?

Dus ja, de fout zit wel degelijk bij luie leveranciers die 'kwaliteit' niet in de doelstellingen van hun bedrijf hebben staan, omdat de klant 't ook wel koopt als de kwaliteit bagger is en het product vol zit met slordigheid-defecten. En dan nog met droge ogen hier mensen die beweren dat het de schuld van de klant is die onredelijke eisen stelt...

Wat zou er gebeuren als TEPCO dat zegt: "Mensen mogen niet van ons verwachten dat we een tsunami-veilige centrale bouwen, dat zijn onredelijk hoge verwachtingen. Althans: Niet voor het geld dat we ervoor kregen. Eigen schuld dikke bult van de omwonenden dus".

Wat als de FDA zou zeggen: Tja, eisen dat alle medicijnen die we goedkeuren geen dodelijke bijwerkingen hebben is een beetje een te hoge eis - althans voor het geld dat we krijgen. En als we een fout maken en er overlijden even 100 mensen door onze controlefout, dan brengen we iedere dinsdag een 'patch' uit, een update voor onze lijst, en als het echt erg is, dus meer dan 1000 doden, wachten we niet op dinsdag maar doen we 't gelijk morgen - maar de apotheken kunnen dat uitstellen als ze willen, want tja, de update moet hun bedrijfs-proces niet teveel verstoren'.

Maar nee, programmeurs steken liever hun kop in het zand en geven het budget / klanten de schuld van hun falen.

[Reactie gewijzigd door kidde op 6 november 2011 01:33]

Deadlines spelen een belangerijke rol.
Als men te lang over een project doet, lopen de investeringskosten te hoog op en wordt de tijd waarin het resultaat verkocht wordt korter, dus levert het minder op.

De marketingafdeling stelt een releasedatum en die moet gehaald worden.
Precies, zometeen durft niemand meer software te schrijven en uit te geven omdat men bang is voor exploits.
En waarom zou dat slecht zijn? Anders wordt het nooit beter...

Als je software schrijft die meer basale rechten nodig heeft op een systeem hoort daar de verantwoordelijkheid bij om de consument te beschermen tegen exploits. Ik moet daar als klant op kunnen vertrouwen.
[...]
En waarom zou dat slecht zijn? Anders wordt het nooit beter...
Het wordt wel beter als niemadn meer software schrijft? Jij predikt dus vooruitgang door nietsdoen? Ik denk dat elke HAVO leerling je kan vertellen dat hij/zij met niets doen nooit een bal verder is gekomen met z'n huiswerk, maar als jij het wilt proberen, dan lijkt het me het handigst thuis te beginnen: verwijder ALLE software waarin bugs zitten of zouden kunnen zitten van je PC, en gebruik alleen 100% gegarandeerde bug-vrije applicaties.

Zien we je in 2077 wel weer.
Als je software schrijft die meer basale rechten nodig heeft op een systeem hoort daar de verantwoordelijkheid bij om de consument te beschermen tegen exploits. Ik moet daar als klant op kunnen vertrouwen.
Bollocks. Je koopt als klant een product waar bepaalde eisen aan gesteld kunnen worden, maar je koopt het zoals het is. Als het voor dat geld mogelijk was wat beters te maken dan werd dat wel gedaan: softwareboeren willen tenslotte geld verdienen, en dat doen ze door software te verpatsen.
Het feit dat er geen software is die aan jouw eisen voldoet én binnen jouw budget valt geeft aan dat er een probleem is met je eisen c.q. je budget, niet met de leveranciers.
Bollocks. Je koopt als klant een product waar bepaalde eisen aan gesteld kunnen worden, maar je koopt het zoals het is. Als het voor dat geld mogelijk was wat beters te maken dan werd dat wel gedaan: softwareboeren willen tenslotte geld verdienen, en dat doen ze door software te verpatsen.
Het feit dat er geen software is die aan jouw eisen voldoet én binnen jouw budget valt geeft aan dat er een probleem is met je eisen c.q. je budget, niet met de leveranciers.
Als je gelijk welk product (inclusief producten met embedded software) koopt en er blijkt dat bepaalde essentiële functionaliteit niet of onveilig werkt, wordt dat product teruggeroepen en hersteld. Zoiets noemen we 'garantie'. Maar om één of andere reden denken softwaremensen dat dat voor hen niet geldt.

Ook in een ingewikkeld mechanisch ontwerp kunnen makkelijk fouten sluipen (denk aan het aantal auto's, fietsen en reflexcamera's dat teruggeroepen wordt, om maar drie willekeurige voorbeelden te noemen waar ik zelf ervaring mee heb (met een product dat teruggeroepen is). Maar in tegenstelling tot ITers vindt geen enkel mechanisch ingenieur dat eigenaardig...
[...]

Het wordt wel beter als niemadn meer software schrijft? Jij predikt dus vooruitgang door nietsdoen? Ik denk dat elke HAVO leerling je kan vertellen dat hij/zij met niets doen nooit een bal verder is gekomen met z'n huiswerk, maar als jij het wilt proberen, dan lijkt het me het handigst thuis te beginnen: verwijder ALLE software waarin bugs zitten of zouden kunnen zitten van je PC, en gebruik alleen 100% gegarandeerde bug-vrije applicaties.

Zien we je in 2077 wel weer.

[...]

Bollocks. Je koopt als klant een product waar bepaalde eisen aan gesteld kunnen worden, maar je koopt het zoals het is. Als het voor dat geld mogelijk was wat beters te maken dan werd dat wel gedaan: softwareboeren willen tenslotte geld verdienen, en dat doen ze door software te verpatsen.
Het feit dat er geen software is die aan jouw eisen voldoet én binnen jouw budget valt geeft aan dat er een probleem is met je eisen c.q. je budget, niet met de leveranciers.
Wat voor keuze heb je als consument, a: een Mac, B een PC met windows...
a. Macs zijn belachelijk duur.. b. Windows is goedkoop met O.E.M. en retail belachelijk duur..


c je hebt linux.. pc-bsd :*)
Softwarefabrikanten geven of in elk geval gaven hier ook niks om, en dat is inderdaad belachelijk. Anders hadden ze wel een striktere scheiding tussen data (truetypefonts) en code (word/windows) aangebracht!

Ik weet dat het misschien naief of idealistisch klinkt, en dat het ook deels een kwestie van hardware is, maar aangezien een zeer groot percentage van de exploits berust op uitvoeren van data (middels overlopende buffers e.d.) is het iets waar veel meer discipline betracht moet worden (soms is het zo simpel als een andere C-functie of library gebruiken).

Tegen dat soort kwaadaardige slordigheid / grove nalatigheid van softwarefabrikanten helpt een dreiging met claims en straffen misschien wel: een volledige audit en reparatie van een programma als Word is duur, dus maak de boete nog maar wat duurder dan de audit en leg hem voorwaardelijk op. MS heeft genoeg vet op de botten om daar niet aan failliet te gaan!

P.S. Ik weet dat er dingen als DEP bestaan, maar dat is natuurlijk geen excuus om slechte programma's te blijven maken.

[Reactie gewijzigd door mae-t.net op 5 november 2011 12:53]

Je kan een systeem zo veilig maken dat er niet meer mee te werken valt. Het is altijd een compromis, kiezen tussen security en useability.

Je kan op je voordeur ook 35 sloten plaatsen om een inbreker tegen te houden, maar dan ben je ook telkens een half uur bezig met je deur los en vast te maken. En dan slaat de inbreker gewoon het raam naast de deur stuk ...
Precies, en daarom hebben u en ik 1-5 sloten op de deur, een winkel 10, de bank 35 op de kluis, en een kerncentrale / onderzeeer en verrijkings-instituut in Iran misschien (hopelijk) 50. Allemaal een verschillende security / usability balans.

Echter, zij draaien vaak wel allemaal dezelfde Windows software - dus voor al hun software is dezelfde security / useability balans gekozen. Wat is hier mis?

@demilord: Dat denk ik niet, dat weet ik zeker. Anders kwam ik er niet mee, dacht u ook niet? Kerncentrale in Iran (Stuxnet): Windows. Britse kernonderzeeer met virus: Windows. Pinautomaten: Windows (kan je zelf checken als 'ie 't af en toe niet doet).

[Reactie gewijzigd door kidde op 7 november 2011 00:02]

Die zijn er dus wel:
De Windows Server-versie zonder gui is niet getroffen door het beveiligingsprobleem, omdat die geen fonts hoeft te parsen.
Voor de Amerikaanse luchtmacht hebben ze ook een speciale versie van XP ontwikkeld. Ook voor pinautomaten is er een speciale versie uitgebracht.
Op de embedded site van MS vind je nog veel meer op maat geschreven Windows versies.
Wat bedrijven moeten begrijpen is dat we in een dynamische wereld leven en dat je steeds weer investeringen moet doen op mogelijk problemen voor te blijven. Kijk maar eens naar het kraken van wachtwoorden. Een wachtwoord waar je 10 jaar geleden een eeuwigheid over zou doen om te kraken heb je nu binnen een paar tellen gekraakt.
Usability is ook zonder buffer-overflows natuurlijk uitstekend. De afweging betreft niet de usability maar de ontwikkelkosten.
Ik wacht met smart op de publicatie: "On the design and implementation of guaranteed-error-free large-scale software systems" door Gesthuizen en Mae ;)

Hier wordt natuurlijk al sinds het begin van de computer intensief onderzoek naar gedaan. Dit is ook een van de redenen geweest om CLI in te voeren, zodat dit soort buffer overflows automatisch gedetecteerd kunnen worden. Fout-vrije software maken is gewoon heel erg moeilijk. Alle fouten uit miljoenen regels legacy code halen is haast ondoenlijk.

Er worden wel pogingen gedaan, maar om dit in de praktijk uit te voeren zal waarschijnlijk alles herschreven moeten worden. Misschien naar een automatisch verrifeerbare functionele taal,maar eigenlijk weet niemand het echt.
Ik zal de laatste zijn om te ontkennen dat verifieerbaar correcte programma's bijna onmogelijk zijn om binnen redelijke grenzen te maken. Ik stel echter dat veel programmeurs er met de pet naar gooien, door onkunde of tijdsdruk bijvoorbeeld, en dat het heus een stuk beter kan dan het nu gebeurt. Hoeveel webshops hadden ook weer exploits? SQL-injectie is ontzettend 1999. Dat heeft niet eens te maken met verifieerbaar correct programmeren, maar is echt botte nalatigheid, nog een stukje dommer dan een buffer-overflow in C. Data hoort niet uitgevoerd te kunnen worden.

En soms moet je maar wat legacy overboord gooien en herschrijven. MS doet dat uit zichzelf ook zo nu en dan met onderdelen van Windows. De dreiging van een bekeuring kan een stimulans zijn om dat wat uitgebreider en wat vaker te doen.

Een goede middenweg is ook best, maar zelfs daarvoor moet nog veel gebeuren.

[Reactie gewijzigd door mae-t.net op 5 november 2011 18:01]

Nou, de regering... Het is deze keer weer eens een SP kamerlid dat wat begint te gillen. Wat ik me afvraag is als de 2e kamer MS ter verantwoording kan roepen, kunnen wij dan ook de 2e kamer ter verantwoording roepen voor gemaakte grove fouten? Ze hebben de laatste jaren er namelijk nogal wat gemaakt... En als we dan toch bezig zijn, wellicht dat we de SP dan meteen even ter verantwoording kunnen roepen inzake hun wortelen (communistisch, etc.)...
Tuurlijk dat, dat noemt men verkiezingen.
Beste Cergorach,

Ik heb wel een paar kantekeningen op je opmerking

Consumenten, normale particulier en zakelijke klanten zonder politieke invloed
zijn niet belangrijk genoeg voor Microsoft en dat bljikt uit het feit dat een Sandbox per applicatie nog niet eens voorhanden is. Voor Overheid en Corporate clients is men een stuk toeschietelijker, dat is een kenmerk voor Corporatisme en geen Kapitalisme

Sinds wanneer is een socialist/communist in staat om het onderscheid te herkennen

Ik quote maar liever Thomas Paine: "where there is freedom the government fears the people if the people fear the government there is tyranny"
Ik zie het niet een taak van de overheid om ons tegen van alles en nog wat te beschermen, de overheid moet waken over onze vrijheid en dat onze rechten beschermt worden niet dat de overheid tegen individuen wordt beschermt.
Consumenten, normale particulier en zakelijke klanten zonder politieke invloed hebben de keuze om MS producten te kopen of niet als ze het inderdaad zo onveilig vinden. Zowel MacOS als Linux bieden voldoende opties om één ieder te kunnen serveren in wat ze willen (zakelijk/prive/entertainment). Alleen de keuze in producten die op de OSen draaien is wat gelimiteerder...

Een socialist/communist staat niet gelijk aan stupide persoon.

Ik zou graag willen dat de overheid de burger niet tegen van alles en nog wat moest beschermen, maar als ik zo om me heen kijk dan ben ik bang dat de gemiddelde burger van de wieg tot het graf beschermd dient te worden, voornamelijk van zichzelf...
En als we dan toch bezig zijn, wellicht dat we de SP dan meteen even ter verantwoording kunnen roepen inzake hun wortelen (communistisch, etc.)...
Not to mention het verkwisten van gemeenschapsgeld aan dit soort waanzinnig stomme onzin kamervragen, wat uiteindelijk van ons belastinggeld betaald wordt.

Eigenlijk zou je alleen maar moeten hoeven bijdragen aan de onzin van de partij waarop je gestemd hebt, dan verdwenen dit soort waanzinnigen vanzelf :)
Wat heeft het communisme hiermee te maken? 1 is er een reden waarom de partij SP heet en niet CP en 2 weten de meeste mensen niet eens wat communisme is. Iedereen ziet dan spookbeelden van China voor zich terwijl dat land verre van het communisme is.
Klopt, de SP is niet gebaseerd op het communisme.
Helaas is het nog veel erger, ze waren/zijn mao-istisch. Dat is een stuk erger socialisme en communisme.
Inderdaad, en dan wil ik ze er aan herinneren dat (ik geloof in 2009) door een software bug "onze" regering een groot aantal belastingaangifte kwijt zijn geraakt.

Daarnaast zijn vele bedrijven laks met het installeren van updates, al dan niet om een goede rede (testen van de updates).

Ook draaien nog (te) veel bedrijven Windows xp welke niet meer officieel wordt ondersteund.

Er zijn voldoende manieren om rechten goed af te schermen.

Deze mevrouw moet eens komen praten met wat software engineering en vragen hoeveel fouten er in 100 regels code zitten. Laat staan 50 miljoen regels code.
http://support.microsoft.com/lifecycle/?LN=en-gb&C2=1173

Hier is het nog gewoon 2011 en géén 2014, maar 't kan zijn dat ik wat achter loop :o
Indd, MS wilt natuurlijk een zo veilig software programma hebben. Dit is weer typisch Nederlands eigenlijk. Niet de dader zoeken die hackt, maar het bedrijf pakken die er voor zorgt dat vele Nederlanders kunnen computeren.
Niet de dader zoeken die hackt,
Weet je zeker dat die niet wordt gezocht (nee, natuurlijk wordt die niet gezocht door een politieke partij, waarschijnlijk wel door politie)
maar het bedrijf pakken die er voor zorgt dat vele Nederlanders kunnen computeren.
... en gelijktijdig kan een ander de leverancier van de gebreken vertonende software aan de tand voelen.
Dat veel mensen diezelfde software gebruiken is toch geen rede om geen vragen te stellen over de gebreken?

[Reactie gewijzigd door BadRespawn op 5 november 2011 21:00]

Idd... net zoals dat je in Nederland door een inbreker aangeklaagd kan worden omdat je de boef je huis uit hebt geslagen. Wordt je beroofd van je tas op straat. dan is de politie ook nog zo bijdehand om te zeggen dat je de tas maar beter had moeten vasthouden (werkelijk!) Of een politieagent die je in het ziekenhuis heel bijdehand vraagt of de aanrijding opzettelijk was... omdat er de ervoor iemand met 50km/u plus achterop je wagen is gereden... dan krijg je argumenten als 'anticiperen' e.d. BAH BAH. Zo wordt er leiding gegeven in ons land en voorbeeld doet volgen, zeker als dit van de regelmakers komt. In Nederland doen we vooral aan symptomen bestrijding en daarin het 'slachtoffer' de dader maken door te zeggen dat je dan maar beter had moeten opletten, of had moeten beveiligen.
Wat als jij een huis huurt, jij denkt dat alles in orde is en de eerste nacht dat je er in zit halen boeven de achterdeur er zo uit en jatten alles wat er in zit. Bleek dat die achterdeur niet goed was, vind je dan nog steeds dat jij hierzelf de verantwoording draagt.

Als ik kijk naar de afgelopen jaren is er enorm veel informatie op straat gekomen, wij hebben een bepaalde verwachting van die producten waarvoor wij betalen. Dat de hacker strafbaar bezig is mag duidelijk zijn, maar heeft de maker dan geen verantwoordelijkheid meer? Dan gaan we namelijk leven in een wereld met auto's zonder autoalarmen of sloten enz.

Als je dus kijkt naar blunders zoals bijvoorbeeld bij Sony, dan zie je grove fouten bij bedrijven, ik denk dat het niet slecht is om bedrijven echt te forceren om goed naar de beveiliging te kijken, aan de ene kant maken ze namelijk producten zo dat je er alles in kwijt kan, dat je het voor alles kan gebruiken, maar de beveiliging is hier duidelijk niet voldoende voor. Dan is het hun verantwoordelijkheid om te zorgen dat het product ook geschikt is voor wat ze adverteren.
De overheid vraagt van fabrikanten om veilige producten te maken zodat de consument geen schade wordt toegebracht ook niet door anderen die het product hanteren. Dat geldt voor voedsel, gebouwen, gereedschap, speelgoed, enz. Waarom zou dit niet gelden voor een OS?

Is het dan zo raar dat de overheid eist dat een OS veilig is?

Ik vind van niet. Linux, BSD, OSX bewijzen ook dat het mogelijk is een veel veilger OS te maken. Een 100% veilig OS? Nee 100% veiligheid bestaat nergens en vraagt de overheid ook nimmer. Maar het moet wel veilig en betrouwbaar zijn in de handen van kinderen, ouderen, atechnische mensen, want de producent richt zijn product ook op die afnemers.

Eula's en veiligheidswaarschuwingen zijn manieren om onder zijn aansprakelijkheid uit te komen. Dat moet beperkt worden vind ik. Een producent moet de verantwoordelijkheid voor de productveiligheid niet bij de gebruiker kunnen leggen. Het kan veiliger, dus mag je ook vragen om het veiliger te maken.

[Reactie gewijzigd door Magalaan op 5 november 2011 16:30]

Zou Linux nog zo veilig zijn als de marktaandelen van Linux en Windows omgedraaid waren? Inbreken in Windows is natuurlijk voor spammers e.d. veel interessanter vanwege het massagebruik.
Momenteel neemt het aantal virussen en exploits voor Android en IOS veel sneller toe dan voor Windows Phone.


Aan deze exploit kun je weinig doen, maar de meeste exploits zijn zeer goed te voorkomen. Alleen gaan werknemers dan klagen dat zij niets meer kunnen met hun PC. Onze werkplekken zijn zo goed als volledig dichtgetimmerd. Echter software kan alleen worden geïnstalleerd via group policies en zelfs veel systeembeheerders hebben geen rechten om software te installeren.

Maar op deze systemen is bijvoorbeeld ook geen Flash, Java of Silverlight aanwezig. Ook kunnen werknemers maar een beperkt aantal url's bezoeken. Willen zij bijvoorbeeld een Google Search uitvoeren (het gaat dan met name om de resultaten van de zoekopdracht), dan moeten zij inloggen op de sandbox machines. Zodra de user uitlog, wordt de originele vmware image terug gezet. Als werknemers kunnen websites op de whitelist laten plaatsen en indien gecontroleerd en toegevoegd kunnen zij die websites ook bezoeken via hun eigen werkplek. Administrators hebben een nog een extra 'username-admin' account zodat zij standaard ook niet met extra rechten draaien.

Maar je wilt serieus niet weten hoeveel Linux gebruikers standaard gewoon als root inloggen. Net als met SSH behoort je ook gewoon op de console niet als root in te loggen. Helaas heb ik nog geen (populaire) distributie welke root login standaard via PAM blokkeerd..

Daarbij proberen alle software huizen de software zoveel mogelijk zonder bugs af te leveren. Immers bij elke bug krijgen zij een flinke lading negatieve publiciteit over hun heen. Overigens heeft Microsoft geprobeerd de basis van het probleem (de vele onderdelen welke onder admin rechten draaien) structureel aan te pakken door veel strengere eisen te stellen aan de applicaties welke om verhoogde rechten vragen te stellen. Een van de eisen was dat elke applicatie voorzien moest zijn van AuthentiCode om kernel toegang te krijgen. Vervolgens begonnen de anti-virus bedrijven te klagen onder andere bij de EC en moest Microsoft de verandering terug draaien. Als alternatief is Microsoft toen met UAC gekomen. Beetje raar dus dat de SP nu komt klagen dat dat Windows niet veilig genoeg is.

Is niet heel erg veel anders dan dat de politiek op basis van totaal verkeerde argumenten QoS en traffic priority verbied om DPI tegen te gaan. Dat verbod betekend dat providers dus de bandbreedte moeten verhogen om ervoor te zorgen dat zoals VOIP als bittorrent allebei naar behoren blijven werken. En volgens zijn de politieke partijen verbaasd dat de abonnementen omhoog gaan..

Maar waarom vraagt diezelfde SP niet aan Sony om hun PlayStation netwerk beter te beveiligen. Dat netwerk wordt zo'n beetje vaker gehacked dan dat er exploits voor Windows bekend worden. Maar tunnelvisie (EDP, OV Chipknip, Euro) is in de politiek niet een zeldzaam iets. Wist je dat als elke European 2 jaar geleden een 10 euro (komt neer op ruim 8 miljard) had bepaald dat Griekenland, Spanje en Ierland dan onder de maximale 3% begrotingstekort hadden gezeten? Echter door besluiteloosheid van de politiek dost de gehele crises nu al ruim 400 euro per Nederlander. Politiek en daadkracht gaan helaas niet samen..
Maar op deze systemen is bijvoorbeeld ook geen Flash, Java of Silverlight aanwezig. Ook kunnen werknemers maar een beperkt aantal url's bezoeken. Willen zij bijvoorbeeld een Google Search uitvoeren (het gaat dan met name om de resultaten van de zoekopdracht), dan moeten zij inloggen op de sandbox machines/
Net alsof vertrouwse sites niet gekaapt (via DNS) of gehackt kunnen worden. Het blokkeren van alles behalve diegene die je vertrouwd helpt een klein beetje maar is an sich niet afdoende en hindert vervolgens diverse medewerkers zodanig dat ze hun werk niet fatsoenlijk meer kunnen uitvoeren. Het toevoegen van een website aan de whitelist, (vaak zelfs maar voor een eenmalige aanvraag bij een KVK, overheid of andere instantie,) kost bij veel bedrijven dusdanig veel romplomp dat de deadline verstreken is of men het dan maar via papieren formieren of thuis gaat doen. Wil je voldoende scenario's op voorhand gaan afvangen via een uitgebreide whitelist dan moet deze dusdanig lang worden dat het ook niet meer realiseerbaar is, en is deze bovendien zo lang dat het geen toegevoegde waarde meer is voor de beveiliging.

Het lijkt me wel dat het bij jullie behoorlijk goed op orde is.
Maar waarom vraagt diezelfde SP niet aan Sony om hun PlayStation netwerk beter te beveiligen.
Daar zijn een paar simpele argumenten voor.
- Er zijn minder PS3-gebruikers als Windows gebruikers.
- De PS3 wordt slechts zeer zelden zakelijk gebruikt.
Dat gaat anno 2011 ook niet meer op. Google maar eens op linux exploits. Out of the box is linux helemaal niet veiliger (afhankelijk van de distro). Je moet weten wat je doet en hoe het werkt. Dan kan het veiliger zijn.

Willekeurig verhaaltje http://www.security-faqs....est-operating-system.html

[Reactie gewijzigd door sdk1985 op 5 november 2011 16:24]

Het gaat hier om MISbruik van het product he?
Er zijn mensen die MISbruik maken van de producten en daardoor andere schade toe doen. Een honkbal knuppel (mits goed gehanteerd) doet de consument geen kwaad, als een kwaad-willende echter de consument met de knuppel voor zijn gezicht slaat omdat deze knuppel niet "beveiligd" is tegen het wegnemen van het voorwerp bij de consument, dan......... tja.
Wat een domme vergelijking zeg. Als jij een huis huurt ben je ZELF verantwoordelijk voor het controleren, daar teken je namelijk voor..
Als een achterdeur duidelijk zichtbaar niet goed is valt dit natuurlijk gelijk op. Wat er in dit geval gebeurt is dat er op de achterdeur schanieren zaten die achteraf blijkbaar heel makkelijk open gemaakt kunnen worden.

ZO kunnen we bezig blijven, bijna 99% van de inbraken gaat maar om 1 ding en dat is geld. Bedrijven wil maar 1 ding en dat is geld verdienen.
Kunnen bedrijven het veroorloven om extreme maatregelen te nemen om de beveiliging van producten 100% te maken? nee. Is het technisch mogelijk? uiteraard.

Zo komen we weer in een visuele circel waarbij veiligheid\security altijd op de tweede plaats komt want nr1 zal altijd zijn geld.
Zolang we leven met het bizarre monotaire geld systeem zal veiligheid altijd op de 2de plaats komen, of het nu gaat om software of materialen. Sad but true.
Dan is de oplossing dus geld afschaffen :Y)
Hou toch eens op met dat onzinverhaal. Iedere burger heeft het recht om gepaste actie te ondernemen om zichzelf en zijn naasten, maar ook willekeurige mensen en bezittingen te beschermen. Waar het "mis" gaat is wat mensen nog gepast willen noemen. Als een inbreker je een mes op de keel zet, of je kinderen onder schot neemt ofzo, mag je héél ver gaan. Dat hoeft die inbreker niet eens te overleven. Noodweer nemen ze dat. Maar een inbreker zijn mogelijkheid tot vluchten ontnemen door zijn knieschijven te verbrijzelen is niet gepast, hoe graag je dat ook zou willen... En ja natuurlijk zit daartussen genoeg "grijs" gebied, maar dit land is bij lange na niet het paradijs voor criminelen dat zo vaak geschetst wordt...
"Belachelijk overigens. Net alsof software fabrikanten hier niks om geven."

Aangezien bugs verwijderen nogal prijzig maken alle softwarefabrikanten een financiele keuze over hoe ver ze gaan met het ontbuggen van hun software.
Dan doet vista in ieder geval wel wat je wil :+

Maar even on topic, wat Zoijar zei, het is toch te belachelijk voor woorden hier in de nederlandse regering. Ze roepen te vaak dingen terwijl ze geen idee hebben wat er eigenlijk allemaal achter zit.

edit: typo

[Reactie gewijzigd door Derlux op 5 november 2011 11:55]

Geen maatschappijleer gehad? Een kamerlid uit de oppositie die wil scoren != regering.
Niet als je zelf geen admin rechten hebt hoor.
Seriously?

Maar natuurlijk...

JE kon in Vista ook typen 'Ik wil een raket lanceren' en toen kreeg je launch control voor je.
Ik bestuur Merkel en Sarkozy nog iedere dag vanachter mijn computer. En jullie maar denken, welke grapjas zit er achter de crisis.
Je kan bijv. aangeven onder welke user een app mag draaien en deze user zeer beperkte rechten geven. Via GPO en AppLocker kan je meer restricties opleggen.

[Reactie gewijzigd door Cobalt op 5 november 2011 15:11]

ja maar wie doet dit als hij/zij thuis zit?
Je hoort vaak genoeg over UAC uitzetten, het niet gebruik maken van een user account voor dagelijk gebruik. Dit zal al in XP, maar pas bij vista/7 wordt er meer gebruikt van gemaakt door een deel vd gebruikers waarbij het andere deel dus juist hierover klaagt.
@poepkop:
Windows heeft al meer dan 10 jaar een Sandbox: het .NET platform.

Alle .NET code heet managed code en per applicatie kan ingesteld worden hoeveel rechten het heeft. Als een applicatie geen rechten heeft om bijvoorbeeld op de schijf te schrijven, dan kan de applicatie zelfs als het onder het administrator account draait niet schrijven.

Wel kun je je afvragen waarom Microsoft nog zelf zoveel native applicaties heeft, als Word ook een .NET applicatie was dan was deze exploit niet mogelijk geweest.
Wat moet Word met internet? Toegang tot My Documents\Word en Word's eigen programmadirectory lijkt me voldoende.
Het hele idee achter een exploit is dat door een bug (buffer of stack overflow bv), de aanvaller code kan uitvoeren met rechten die de applicatie normaal gesproken niet heeft.

Overigens zal Word wel degelijk netwerktoegang moeten hebben wil je bestanden van een netwerkdrive kunnen openen.

[Reactie gewijzigd door Dreamvoid op 5 november 2011 22:28]

Juist daarom moet de toegang die een applicatie heeft ook niet afhangen van die applicatie zelf (want met een exploit ben je dan de lul) maar van een (door de gebruiker te configureren) systeeminstelling, in de praktijk een firewall.

Netwerktoegang wordt (of zou moeten worden) geregeld door het OS en is voor een applicatie als Word transparant. Ik bedoel dat Word zelf alleen File I/O hoeft aan te spreken en niets hoeft te doen met TCP packets of HTTP requests.
Ot: Beetje naief is het wel van deze SP Juf, exploits zitten zoals ze zegt wel vaker in software.
Hoezo naïef? Als iemand zelf al zegt zich er van bewust te zijn dat software altijd lekken kan bevatten, hoe kun je die persoon dan van naïviteit beschuldigen? Omdat het hier om een SP-er gaat? Of omdat het een vrouw is? Of beiden? Een tamelijke domme en tendentieuze opmerking!
Ja, omdat het een SP vrouw is, daarom zeg ik dat. Wellicht wil je zelf even nadenken over je opmerking en wat ik opschreef, want ik bedoel dat het naïef is om te denken dat je Microsoft even op het matje kan roepen en daar wat mee te kunnen bereiken.

En wellicht is 'Juf' wat denigrerend, maar het voelt aan alsof de SP zich ook moet mengen in het debat over computerveiligheid en dus maar wat roept. Ik wil je er even aan herinneren dat Gesthuizen afgelopen week druk bezig was met de Mauro kwestie, hoe kan je dan een goed voorstel formuleren voor een totaal ander onderwerp? Kortom, ik heb het gevoel dat ze er niet veel verstand van heeft.
Voor de bühne noemen ze dat.

[Reactie gewijzigd door poepkop op 5 november 2011 16:35]

Het lijkt mij inderdaad erg verstandig dat de Nederlandse overheid -experts in IT veiligheid- heel veel energie steekt in dit plan. Dit wordt sowieso het volgende IT related succes, want daar zijn er al zo veel van. Goed bezig Den Haag!
Den Haag weet hoe het moet!

/sarcasm

[Reactie gewijzigd door Datafeest op 5 november 2011 11:23]

Dit wordt fantastisch! Dit is echte bananenrepubliek politiek, ik verheug me er nu al op. Stel je voor: bij elke patchronde worden 'verantwoordelijken' van Adobe, Microsoft, Google, Apple, Oracle en diverse vrijwilligers van Linux, Apache, Mozilla, etc op het matje geroepen bij de 2e Kamer. Daar stamelen ze allemaal iets over 'complexe software heeft altijd fouten', waarna een strenge volksvertegenwoordiger uitlegt dat het land besturen ook complex is, maar zie je hen fouten maken? Na een lange preek over corporate responsibility en een "niet meer doen he?" waarschuwing verlaten ze met gebogen hoofd weer het pand. De camera's snorren, het volk applaudisseert: weer een probleem opgelost.

[Reactie gewijzigd door Dreamvoid op 5 november 2011 12:50]

Dit wordt fantastisch! Dit is echte bananenrepubliek politiek,
Ja wij zijn bezig een bananenrepubliek te worden.

Weet je eigenlijk wel wat een bananenrepubliek is? Uit je verhaal op te maken roep je maar wat zonder na te denken.

Een bananenrepubliek is een land dat volledig afhankelijk is gemaakt van de bananenproductie door een grote corporatie die alles bezit tot en met de regering.

Één of enkele grote corporaties (monopolisten) die de dienst uitmaken, de regering doet wat zij wil(len). De rechten van de burgers zijn dan weinig meer waard.

In PC-land geldt dat ook voor monopolist Microsoft. Ze verdienen miljarden aan een onveilig systeem, maar de overheid pakt ze niet aan. Ze neemt wel haar producten af, rust het onderwijs er mee uit, maar durft geen eisen te stellen. Als je dat laat voortduren, dan ben je inderdaad een bananenrepubliek en geen rechtstaat

Voor de mensen die het nog niet begrijpen: De staat is er om de belangen van ALLE burgers te beschermen en niet alleen die met een hoop geld, omdat ze zichzelf zo belangrijk en superieur vinden. En zeker ook niet de belangen van buitenlandse corporaties die hebzucht (winst) als belangrijkste oogmerk hebben. Als we die kant opgaan zijn wij zeker geen rechtstaat meer, maar worden wij een bananenrepubliek

[Reactie gewijzigd door Magalaan op 5 november 2011 16:41]

En wij doen niet precies wat de bedrijven in Nederland willen?

Ons hele stelsel is gebaseerd op het "economie" van de bedrijven en de werknemers zijn maar bijzaak.

Wat men verstaat onder bananenrepubliek is gewoon "het niet geheim houden van" maar feitelijk verschilt er weinig met onze levens stijl
Dan krijgt "Campzone" toch weer een hele nieuwe betekenis als je jouw hypothetische toekomst verder uitwerkt ;).
Amai dat men al zo diep in de code kan hacken dat malware via een font binnengeraakt is straf, Hoe meer van dit soort berichten ik lees hoe meer ik mij afvraag wat we niet weten. Niet dat ik paranoia ben maar het gaat toch ver hoor.

Als windows niet veilig genoeg is moeten ze maar iets anders nemen. Populariteit heeft zijn prijs.

[Reactie gewijzigd door manuarmata op 5 november 2011 11:32]

In het kort: Je moet er vanuit gaan dat alles wat op je computer(s, inclusief mobiele telefoons en dergelijke) opgeslagen is of gedaan wordt is nooit 100% veilig. Als het gaat om apparaten die verbonden zijn met een netwerk op welke manier dan ook, dient men voorzichtig te werk te gaan en met mate gevoelige informatie gebruiken.

Als je gebruikt maakt van bepaalde luxe moet je begrijpen en accepteren (ook al ben je er misschien niet gelukkig mee) dat je zelf je privacy iets meer open zet dan normaal. Dit geldt zelfs voor het gebruik maken van het OV of publieke omgevingen, overal hangen tenslotte camera's tegenwoordig. Daar krijg je ook geen brief van waar je gefilmd ben en wie deze informatie in handen krijgt.

Het is niet iets wat we klakkeloos moeten accepteren, maar wel bewust van moeten zijn zodat we ons daar kunnen beschermen waar wij dit nodig vinden.

[Reactie gewijzigd door Arcticwolfx op 5 november 2011 11:29]

Dit geldt zelfs voor het gebruik maken van het OV of publieke omgevingen, overal hangen tenslotte camera's tegenwoordig. Daar krijg je ook geen brief van waar je gefilmd ben en wie deze informatie in handen krijgt.
Het bureau bescherming privacy ziet erop toe dat instanties niet meer gegevens opslaan dan strikt noodzakelijk en deze gegevens niet verstrekken aan derden, buiten wat is vastgelegd en wettelijk toegestaan. Dat is bij wet geregeld.

Filmen in de openbare ruimte is in principe verboden, slechts toegestaan in bijzondere omstandigheden en dan staat dat ook met borden aangeduid.

[Reactie gewijzigd door denkster op 5 november 2011 22:20]

Het veiligste is nog steeds vulpen/potlood en papier :) zelfs balpennen zijn uit te rusten met hardware dat ze je schrijven kunnen opnemen.
Potlood is erg onveilig - het is te wissen!
Kamerleden hebben sowieso de neiging om onzinnige discussies te voeren of van alles en nogwat (bijvoorbeeld Mauro), met ons belastinggeld. Ze zijn er om wetgeving te maken, niet om individuele gevallen te beoordelen, daar is ons rechtssysteem voor.

En wat betreft dit Microsoft gebeuren, software bevat nu eenmal bugs en gaten, daar ontkom je niet aan. Microsoft stopt al miljarden in de beveiliging van hun software.

Kamerleden beginnen steeds meer de grip op de werkelijkheid te verliezen heb ik het idee.

[Reactie gewijzigd door OriginalFlyingdutchman op 5 november 2011 11:29]

Inderdaad, waar bemoeit ze zich mee? Hoeveel IT-kennis heeft die Sharon Gesthuizen eigenlijk?
En waarom zou dit niet Europees geregeld moeten worden?

"Het SP-Kamerlid wil dat de regering richtlijnen uitvaardigt om kritieke lekken in besturingssystemen als Windows en software als Microsoft Word te voorkomen. Sharon Gesthuizen zegt zich wel ervan bewust te zijn dat software altijd lekken kan bevatten"

Dus daarmee geeft ze al aan dat dit plan praktisch niet uitvoerbaar is...
De verschillende Linux distributies worden ook regelmatig gepatched en daar hoor je (bijna) niemand over klagen (ook Gesthuizen niet) ..
De SP heeft zijn roots in het communisme en een dergelijke politieke overtuiging vloekt nu eenmaal met een groot-kapitalistisch bedrijf als MS ;)

Reden genoeg voor mij dus om Gesthuizen niet serieus te nemen.
Microsoft ter verantwoording roepen.... hilarisch! Wellicht moeten de getroffen bedrijven even kijken in hun 'contract' met Microsoft (de EULA waar ze nextnextnext doorheen geklikt hebben), misschien staat daar wel in dat MS garandeert dat dit nooit voor zal komen.
En anders stap je lekker over op een ander platform toch?


(edit: lol, in 5 min tijd 10+ reacties met dezelfde strekking :) )

[Reactie gewijzigd door Sebas1979 op 5 november 2011 11:29]

Een EULA is niet per definitie rechtsgeldig; de lokale wet gaat vaak boven eventueel strijdige passages in de EULA.
Ik denk dat wat er in de nederlandstalige EULA wel degelijk rechtsgeldig is. Er loopt in NL genoeg volk rond dat werkt voor MS waaronder een hoop advocaten, zo een product word echt niet met een simpel tekstje verscheept. Probeer de EULA maar eens door te lezen zou ik zeggen.
Nee. Je kan het niet lezen voor aankoop wat de EULA automatisch ongeldig maakt. Wat er ook in staat.
Aangezien ik de wet niet tot op de letter kan interpreteren, heeft het voor mij weinig zin om de EULA uit te spellen. Ik hoor echter zo nu en dan van dergelijke overeenkomsten (inderdaad moet je ze vantevoren kunnen inzien zoals hackerhater al meldt) waar dingen ingezet zijn, per ongeluk of expres, die strijdig zijn met de wet. Een rechter laat de wet dan doorgaans prevaleren boven de overeenkomst. Ook bij algemene voorwaarden en huurovereenkomsten (toch ook opgesteld door juristen) hoor je daar nog wel eens van.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True