ESET ontdekt zeroday in Windows 7 die tegen overheidsinstelling werd gebruikt

ESET heeft een zeroday ontdekt die werd gebruikt voor gerichte aanvallen in Oost-Europa. De kwetsbaarheid werkt alleen op Windows 7 en Windows Server 2008. Het is niet bekend waar de aanval precies op werd gericht.

ESET ontdekte het lek vorige maand en bracht Microsoft daarvan op de hoogte. Er is inmiddels een patch uitgebracht. De kwetsbaarheid is geregistreerd als CVE-2019-1132. en uitgebreid beschreven door de beveiligingsfirma.

Volgens ESET werd het lek actief uitgebuit tegen een overheidsinstelling in Oost-Europa, maar het is niet bekend om welke overheid het precies gaat. Wel wijst het beveiligingsbedrijf de Buhtrap-groep aan, een hackergroepering die sinds 2014 actief is en aanvankelijk vooral Russische bedrijven aanviel. Sinds een paar jaar richt de groep zich echter niet alleen op financiële doelen, maar ook op spionage. ESET zegt dat de huidige malwareaanval onder meer wachtwoorden probeerde te stelen uit mailprogramma's en browsers.

Het lek was te misbruiken op oudere versies van Windows 7 en op Windows Server 2008 en 2008 R2. Wel kan het lek alleen uitgebuit worden als de aanvaller al toegang tot het systeem heeft. Specifieker zijn de systemen die kwetsbaar zijn Windows 7 32-bit Service Pack 1 en 64-bit Service Pack 1, Windows Server 2008 32-bit, 64-bit en Itanium Service Pack 2, en Windows Server 2008 R2 64-bit en Itanium Service Pack 1.

De exploit maakt misbruik van een kwetsbaarheid in win32k.sys. Een aanvaller kan die uitbuiten door pop-upvensters aan te maken en die misbruiken om het kernelgeheugen te dumpen. De kwetsbaarheid was voornamelijk bedoeld om de gebruikersrechten te vergroten.

Het is niet het enige lek dat Microsoft deze week heeft gerepareerd. Tegelijkertijd met deze kwetsbaarheid heeft het bedrijf ook een patch uitgebracht voor CVE-2019-0880, een exploit waarmee ook een local privilege escalation kan worden uitgevoerd. Die kwetsbaarheid zit in splwow64.exe.

Reacties (54)

D0phoofd 11 juli 2019 12:32

Ik zou bijna zeggen dat MS de stekker er maar geforceerd uit moet trekken. Het leidt zo tot imagoschade. Maarja, dat gaat natuurlijk niet.

MS blijft het zeggen dat men er van af moet stappen. En als men alsnog kritische legacy software moeten draaien, kan dat denk ik ook onder Linux met wine of mono lijkt mij.

Het is gewoon te makkelijk. Manager x ziet cijfer y, dat kleiner is dan z. Dus blijft de Windows 7 bak maar draaien. Die nalatigheid mag in mijn (waarschijnlijk onpopulaire) mening wel geëxploiteerd worden...

GeoBeo @D0phoofd • 11 juli 2019 12:47

Ik zou bijna zeggen dat MS de stekker er maar geforceerd uit moet trekken. Het leidt zo tot imagoschade. Maarja, dat gaat natuurlijk niet.

MS blijft het zeggen dat men er van af moet stappen. En als men alsnog kritische legacy software moeten draaien, kan dat denk ik ook onder Linux met wine of mono lijkt mij.

Het is gewoon te makkelijk. Manager x ziet cijfer y, dat kleiner is dan z. Dus blijft de Windows 7 bak maar draaien. Die nalatigheid mag in mijn (waarschijnlijk onpopulaire) mening wel geëxploiteerd worden...

De reden dat men overal (niet alleen bij de overheid) oude software blijft gebruiken is heel simpel:

De daadwerkelijke kosten van software onderhoud zijn nooit meegenomen bij het uitbesteden van software ontwikkeling en onderhoud. Alles moet zo goedkoop mogelijk. Ik heb bij bedrijven gewerkt waar het geld tegen de muren omhoog klotste en nog steeds wilden ze geen fatsoenlijk budget vrijmaken voor ICT. Gewoon, omdat managers een bonus krijgen als ze kosten besparen.

Dan blijf je dus aanmodderen tegen hoge kosten voor legacy software licenties, met alle risico's van dien en vervolgens moet je alsnog op een bepaald moment overstag.

De wondere wereld van voorspelbaar irrationeel handelen van groepen mensen.

Edgarz @GeoBeo • 11 juli 2019 13:09

Het ligt wel iets genuanceerder.
Het is vaak niet simpelweg even upgraden. Het hele applicatie- en soms infra-/security landschap wordt door zo'n upgrade geraakt en dit vereist sowieso een test traject en heel vaak aanpassingen in applicaties van andere vendoren. Dat maakt een upgrade een langduriger en kostbaarder traject.

GeoBeo @Edgarz • 11 juli 2019 13:37

Het ligt wel iets genuanceerder.
Het is vaak niet simpelweg even upgraden. Het hele applicatie- en soms infra-/security landschap wordt door zo'n upgrade geraakt en dit vereist sowieso een test traject en heel vaak aanpassingen in applicaties van andere vendoren. Dat maakt een upgrade een langduriger en kostbaarder traject.

Ja, maar dat is dus mijn punt.

De kosten van zo'n traject moet je meenemen op het moment dat je bepaalt "hey, laten we dit leuke stukje software bouwen. Hoe duur is dat?". Het houd niet op bij de productie kosten van een stuk software natuurlijk. Net als dat de kosten van het (levens lang) hebben van een auto niet ophouden bij de aanschafprijs van 1 of meerdere auto's.

Software bij de overheid draait niet 1 of 2 jaar zoals software voor consumenten. De levensduur voor overheidssoftware (en software voor grote bedrijven) is 20 tot 50 jaar (mijn eigen grove schatting, natte vinger). Dit is van te voren bekent. Er kan dus ook van te voren ingeschat worden wat een stuk software gemiddeld per jaar gaat kosten. Inclusief onderhoud, inclusief aanpassingen, inclusief her-trainen van personeel, inclusief herschrijven en inclusief updates.

Dit wordt echter, voor zover ik weet, niet gedaan. Alles is korte termijn planning. De horizon gaat niet verder dan de huidige regeringsperiode en als het voor een hoge pief allemaal te lastig wordt, dan gaat hij weg en zoekt hij een ander leuk baantje, tot dat weer te lastig wordt. enz.

Er wordt een stuk software geschreven / aangeschaft. Dat draait tot er ineens moeilijkheden komen en dan wordt men pas wakker en gaat men nadenken over "ohja, Windows 7 bestaat niet voor atlijd". Om maar wat te noemen. En dan is er ineens geen geld of mankracht om een update te schrijven.

Volledig voorspelbaar. Volledig onnodig.

En als software inclusief alles, per jaar, te duur blijkt te zijn. Dan koop je die software niet. En dan maak je niet je volledige bedrijf/overheid daarvan afhankelijk. Tot het wel goedkoop genoeg kan. Simpel.

Maar deze basis logica blijkt volledig te ontbreken bij overheden en grote bedrijven.

[Reactie gewijzigd door GeoBeo op 23 juli 2024 15:17]

Edgarz @GeoBeo • 11 juli 2019 13:47

Onderhoud op langere termijn etc is wel degelijk onderdeel van de business case. Zo dom zijn ze bij de overheid en grotere instellingen ook niet.

Je haalt twee principes door elkaar, die los van elkaar kloppen. Maar de combinatie is dat niet.

Bij overheid en grotere instellingen gaat het vooral om de complexiteit die gepaard gaat met het bredere veld/landschap. Die is naast zeer moeilijk stuurbaar door de bedrijfsomvang ook erg onvoorspelbaar aangezien je simpelweg niet kunt voorspellen hoe regelgeving en beleid er over 5 jaar uitzien. Vooral bij banken en overheid is dit een niet te licht in te schatten onderdeel.

GeoBeo @Edgarz • 11 juli 2019 14:02

Onderhoud op langere termijn etc is wel degelijk onderdeel van de business case. Zo dom zijn ze bij de overheid en grotere instellingen ook niet.

Je haalt twee principes door elkaar, die los van elkaar kloppen. Maar de combinatie is dat niet.

Bij overheid en grotere instellingen gaat het vooral om de complexiteit die gepaard gaat met het bredere veld/landschap. Die is naast zeer moeilijk stuurbaar door de bedrijfsomvang ook erg onvoorspelbaar aangezien je simpelweg niet kunt voorspellen hoe regelgeving en beleid er over 5 jaar uitzien. Vooral bij banken en overheid is dit een niet te licht in te schatten onderdeel.

Dit praat het niet goed. Als het allemaal zo moeilijk stuurbaar is en zo onvoorspelbaar is, dan doe je de geraamde prijs flink omhoog om risico van "niet kunnen betalen" te vermijden. Als dan blijkt dat het allemaal veel te duur is en niet kan, dan is dat ook een antwoord.

Maar dat antwoord mag blijkbaar niet. En doormodderen is beter.

Tot het een keer echt helemaal mis gaat denk ik dan. En elke keer weer blijkt het veel duurder dan geraamd.

Wat gaat het de betreffende overheden uit het artikel nu kosten aan gelekte informatie, door het hardnekkig blijven gebruiken van Windows 7? Antwoord: meer dan wat een upgrade zou kosten, want die upgrade gaan ze binnenkort sowieso moeten doen. En zeg nou niet dat het niet voorspelbaar was dat er informatie zou lekken op deze manier. Als je verouderde software met (hopelijk) extended support gebruikt (Windows 7) dan is de rest van je infrastructuur waarschijnlijk ook niet de nieuwste. En dan zijn data-lekken en hacks volledig voorspelbaar en mee te nemen als kosten risico.

Wat kost upgraden? heel veel.

Wat koste niet upgraden en data van burgers uitgelekt + staatsgeheimen uitgelekt? nog veel meer.

[Reactie gewijzigd door GeoBeo op 23 juli 2024 15:17]

Edgarz @GeoBeo • 11 juli 2019 14:57

Allemaal potentiële risico's. Mooi hoor. En als je wat ervaring zou hebben met risicomanagement dat weet je dat je niet alle potentiële risico's bij voorbaat daadwerkelijk mitigeert. Daarmee zou elk project al bij voorbaat onbetaalbaar worden (lees: een negatieve business case hebben) en dus niet uitgevoerd worden. Dus worden risico's geaccepteerd.

Het doel van ICT is namelijk niet alleen om de mooiste en veiligste oplossingen neer te zetten. Het moet ook nog aan andere voorwaarden voldoen binnen een bedrijf. Zo werkt dat ook bij bedrijven, de overheid en bij ons thuis ook. Doen zij en wij dat niet, dan worden producten erg duur, gaan belastingen omhoog of heb je geen geld om boodschappen te doen.

Het ligt dus genuanceerder.

GeoBeo @Edgarz • 11 juli 2019 15:17

Allemaal potentiële risico's. Mooi hoor. En als je wat ervaring zou hebben met risicomanagement dat weet je dat je niet alle potentiële risico's bij voorbaat daadwerkelijk mitigeert. Daarmee zou elk project al bij voorbaat onbetaalbaar worden (lees: een negatieve business case hebben) en dus niet uitgevoerd worden. Dus worden risico's geaccepteerd.

(Bijna) alle overheids ICT projecten falen en we lezen aan de lopende band verhalen over dat er weer eens privacy gevoelige (of zelfs staatsgevoelige) data is uitgelekt.

Hoe is de business case achteraf (en naar mijn mening ook vooraf) niet negatief te noemen voor bijna al die projecten?

Zomaar een willekeurig voorbeeld: de OV-chipkaart. Ik denk dat je het met me eens bent dat dit achteraf een negatieve business case was (3 miljard ipv de geraamde 0,5 miljard en jaren later nog steeds geen poortjes op alle stations + afschaffing ervan alweer in zicht). Hoe was dat geen negatieve business case toen ze eraan begonnen? Hoe is dat project kosten positief te noemen voor burgers? De prijs van treinkaartjes is veel harder gestegen dan inflatie EN er is los daarvan belastinggeld verspild aan een systeem dat weinig tot niets toevoegt.

Risicomanagement is betekenisloos als flink bijsturen of annuleren van een kansloos project bij voorbaat geen optie is.

Case in point: als je als grote instelling anno 2019 nog Windows 7 of lager draait, dan heb je per definitie geen (goed) risicomanagement gedaan. Zie artikel.

Het doel van ICT is namelijk niet alleen om de mooiste en veiligste oplossingen neer te zetten. Het moet ook nog aan andere voorwaarden voldoen binnen een bedrijf. Zo werkt dat ook bij bedrijven, de overheid en bij ons thuis ook. Doen zij en wij dat niet, dan worden producten erg duur, gaan belastingen omhoog of heb je geen geld om boodschappen te doen.

Het ligt dus genuanceerder.

Dat snap ik allemaal wel. Maar dat betekend niet dat het bouwen van een stuk software (of andere technologische oplossing) altijd een goed idee is. Zeker als je de upgrades e.d. niet gaat kunnen betalen.

Producten worden duurder en belastingen gaan omhoog. Dat klopt. Zonder ICT krijg je dat. Maar met ICT die niet op orde is krijg je dat ook. Mogelijk nog erger dan als je helemaal niets zou hebben gedaan.

Edgarz @GeoBeo • 11 juli 2019 15:56

Zucht... Windows 7 is prima in deze tijd. Vulnarabilities zijn er altijd geweest en deze is niets anders dan anderen.

Tot op heden zijn er nog geen grote datalekken geweest bij de overheid die tot verspreiding van data geleid hebben. Niet meer dan bij private partijen in ieder geval.

En de ICT projecten van de overheid... Die mislukken lang niet allemaal. Je hoort alleen de slechte gevallen. En ja, er zitten budget overschrijdingen in deze projecten. En je denkt dat het in het bedrijfsleven anders gaat? 🤣

De overheid heeft een nadeel dat het openbare projecten zijn die een beleidsdoel mogelijk moeten maken. En dus koste wat het kost opgeleverd moeten worden. Stoppen is zelden een optie, de politiek wordt er anders op afgerekend als "wel beloofd maar niet geleverd". Daar maken leverancier ook slim gebruik van. Die verdienen er namelijk erg goed aan.

GeoBeo @Edgarz • 11 juli 2019 16:09

Zucht... Windows 7 is prima in deze tijd. Vulnarabilities zijn er altijd geweest en deze is niets anders dan anderen.

Tot op heden zijn er nog geen grote datalekken geweest bij de overheid die tot verspreiding van data geleid hebben. Niet meer dan bij private partijen in ieder geval.

Sja. Als het uitgangspunt is dat datalekken niet echt een probleem zijn en toch wel voorkomen, waarom hebben we dan deze discussie?

En de ICT projecten van de overheid... Die mislukken lang niet allemaal. Je hoort alleen de slechte gevallen. En ja, er zitten budget overschrijdingen in deze projecten. En je denkt dat het in het bedrijfsleven anders gaat? 🤣

Nee. En dat stel ik ook nergens.

De overheid heeft een nadeel dat het openbare projecten zijn die een beleidsdoel mogelijk moeten maken. En dus koste wat het kost opgeleverd moeten worden. Stoppen is zelden een optie, de politiek wordt er anders op afgerekend als "wel beloofd maar niet geleverd". Daar maken leverancier ook slim gebruik van. Die verdienen er namelijk erg goed aan.

Je schrijft dit, alsof dit systeem zo prima is en zo prima kan blijven werken?

Ik vind het enorm raar, dat we dit systeem met z'n allen normaal vinden.

Raar dat ongekozen coalitie mensen een beleidsdoel kunnen opstellen (zonder desgewenst direct mandaat van het volk voor dat beleidsdoel) en raar dat specialisten die zo'n doel van te voren als "onhaalbaar" bestempelen niet gehoord kunnen worden.

Maar goed, dit gaat richting off topic.

Edgarz @GeoBeo • 11 juli 2019 17:12

"Ongekozen coalitie"...kom op. Hou die boreaal georiënteerde FvD-praat even buiten de discussie.
We hebben een representatieve democratie en zolang er geen absolute meerderheid is, tja...dan krijg je een coalitie..je wilt toch wat bereiken en daar heb je toch echt een meerderheid voor nodig. De partijen die de coalitie aangaan raadplegen hun leden. Dus daar is niets ondemocratisch aan. Zoals alles in een democratie kun je bij de minderheid horen die zijn zin niet krijgt. Zo ook met de keuze voor een coalitie. Maar die moet niet gaan janken dat zij niet hun zin krijgen. En als je geen lid bent van die partijen...welk recht van spreken heb je dan? Je wilde deze partijen sowieso niet dus waarom dan wel meepraten over een coalitie?

OT:
Datalekken worden wel degelijk voorkomen, zelfs met Win 7, anders had het al lang een stortvloed gegeven. Elke software heeft kwetsbaarheden. Zelfs Linux/Unix.En zullen dat altijd blijven houden vrees ik.

Sommige dingen werken zoals ze werken. Dat wil niet zeggen dat het niet anders kan of moet en dat het normaal is. Maar het is NU de realiteit. En aangezien bedrijven en overheden complexe institutes zijn met alle mogelijke verschijningsvormen van menselijk gedrag (ja, die zijn moeilijk uit de bannen, helaas voor de binaire IT-er) zal dit ook wel zo blijven of slechts langzaam veranderen.

Het leven is een stuk minder gestresst en begrijpelijk zodra je menselijk gedrag even meenement in je overwegingen.

GeoBeo @Edgarz • 11 juli 2019 18:09

"Ongekozen coalitie"...kom op. Hou die boreaal georiënteerde FvD-praat even buiten de discussie.
We hebben een representatieve democratie en zolang er geen absolute meerderheid is, tja...dan krijg je een coalitie..je wilt toch wat bereiken en daar heb je toch echt een meerderheid voor nodig. De partijen die de coalitie aangaan raadplegen hun leden. Dus daar is niets ondemocratisch aan. Zoals alles in een democratie kun je bij de minderheid horen die zijn zin niet krijgt. Zo ook met de keuze voor een coalitie. Maar die moet niet gaan janken dat zij niet hun zin krijgen. En als je geen lid bent van die partijen...welk recht van spreken heb je dan? Je wilde deze partijen sowieso niet dus waarom dan wel meepraten over een coalitie?

Ik lees hier: alles is zoals het is en dat is daarom dus het beste wat er bestaat. Met zelfs enige emotie, omdat ik een feit aankaart: namelijk dat burgers de coalitie niet kiezen.

Wat ik eerder probeerde te suggereren is een wereld waarin burgers voor of tegen een plan kunnen stemmen in de gevallen dat daar behoefte aan is. Zoals een grote ICT investering. In plaats van het huidige systeem, waarin de meerderheid van burgers geen enkele directe mogelijkheid heeft voor of tegen grote beslissingen te stemmen.

Dat een coalitie met meerderheid van stemmen 4 jaar lang kan doen wat ze wil (zonder directe invloed van burgers), zegt mij als burger helemaal niets. Het is een totaal inefficiënt en weinig democratisch systeem, met onnodige trage en indirecte feedback. Ik weet dat dit geen populaire mening is, maar dit is nou eenmaal mijn mening.

OT:
Datalekken worden wel degelijk voorkomen, zelfs met Win 7, anders had het al lang een stortvloed gegeven. Elke software heeft kwetsbaarheden. Zelfs Linux/Unix.En zullen dat altijd blijven houden vrees ik.

Sommige dingen werken zoals ze werken. Dat wil niet zeggen dat het niet anders kan of moet en dat het normaal is. Maar het is NU de realiteit. En aangezien bedrijven en overheden complexe institutes zijn met alle mogelijke verschijningsvormen van menselijk gedrag (ja, die zijn moeilijk uit de bannen, helaas voor de binaire IT-er) zal dit ook wel zo blijven of slechts langzaam veranderen.

Het leven is een stuk minder gestresst en begrijpelijk zodra je menselijk gedrag even meenement in je overwegingen.

Dit ben ik met je eens hoor. Al denk ik dat bedrijven en de overheid de consequenties van data-lekken lang niet zo serieus nemen als ze zouden moeten. Om twee redenen:

1. De consequenties zijn niet altijd zichtbaar. Denk aan het stelen van staatsgeheimen en bedrijfsgeheimen. De consequentie daarvan is dat jaren later "ineens uit het niets" een bedrijf/overheid ten onder gaat, omdat de concurrentie "ineens" voor gaat lopen. Het is dan niet eens duidelijk dat dit door data lekken komt.
2. De consequenties worden vaak pas later zichtbaar. Voorbeeld: "Plotseling" wordt identiteitsfraude op grote schaal een probleem. Terwijl dit gewoon een directe consequentie was van eerdere datalekken. Mijn voorspelling: deze komt nog een keer op grote schaal. Dit is nu nog niet van toepassing.

Het kan echt wel beter bij heel veel grote bedrijven en overheden, maar de urgentie wordt niet gevoeld.

Komt allemaal vanzelf wel weer een keer. Dat dan weer wel...

[Reactie gewijzigd door GeoBeo op 23 juli 2024 15:17]

Edgarz @GeoBeo • 11 juli 2019 21:03

De burger over elk wissewasje laten stemmen, zelfs als de meerderheid daarvan geen enkel benul heeft waar het onderwerp over gaat ... Da's lekker efficiënt en kostenbewust (een referendum kost 3mio EUR per keer...) 🤣 Een land besturen is niet hetzelfde als een biljart vereniging. Anders had jij ook wel in de RvB van Unilever kunnen zitten. Je kunt het proberen, maar ik vrees dat je dan iets andere ervaring en kennis/kunde moet hebben.
En verwijt jij bedrijven en overheid nu juist niet van het ontbreken van kennis en inzicht?

En mbt de coalitie, nogmaals, daar is voldoende mandaat voor in ons kiessysteem. Je hebt al gekozen voor een partij, de grootste ontbreekt vrijwel nooit en zo wel dan vertegenwoordigd deze alsnog het vereiste van... De meerderheid. En nee, het is misschien niet ideaal (er bestaat geen ideaal besturingsmodel), maar vanuit efficiëntie wel een model dat de doelstelling van de democratie, namelijk een grote dwarsdoorsnede van de bevolking vertegenwoordigen, invult.

En daarnaast: democratie betekent niet dat het alleen maar gaat om de 50.1% van de burgers. Ook het belang van de minderheid wordt in onze democratie gediend. Door referenda wordt dit belang geheel 'weggestemd'.

[Reactie gewijzigd door Edgarz op 23 juli 2024 15:17]

GeoBeo @Edgarz • 12 juli 2019 11:14

De burger over elk wissewasje laten stemmen,

Dat schrijf ik niet. Ik schrijf dat de burger over elk gewenst onderwerp zou moeten kunnen stemmen.

zelfs als de meerderheid daarvan geen enkel benul heeft waar het onderwerp over gaat ...

Dus jij claimt dat:
1. Politici wel verstand hebben van onderwerpen waar burgers een referendum over zouden willen?
2. Een politicus die politicus is uit eigen belang, betere keuzes kan maken voor burgers dan de meerderheid burgers zelf die allemaal uit eigen belang stemmen?

Interessant. Maar ik volg je logica totaal niet. Zelfs niet met de weet van de talloze ambtenaren en experts die politici adviseren. Politici zitten er primair voor zichzelf, niet voor het volk. Ook al zou het advies van de ambtenaren perfect zijn; als het erop aan komt gaat de politicus voor carrière. Niet voor belang van het volk.

Da's lekker efficiënt en kostenbewust (een referendum kost 3mio EUR per keer...) 🤣

Dat is inderdaad heel erg kostenbewust als je daarmee onzin projecten van miljarden kunt vermijden. Dus wat is je punt?

Ik betwijfel nogal of de meerderheid van de Nederlanders bijvoorbeeld voor "ontwikkelingshulp" (lees: omkopen dictators) is voor Nigeria. Om maar wat te noemen. Daarbij valt die 3 miljoen helemaal in het niets.

Of wat zijn de lange termijn kosten van de sleepwet en alle datalekken (en potentiële ondermijning van de democratie met alle gevolgen) die daaruit voort zullen komen. Hint: meer dan 3 miljoen.

Een land besturen is niet hetzelfde als een biljart vereniging. Anders had jij ook wel in de RvB van Unilever kunnen zitten.

Wow. Dus er zijn blijkbaar echt mensen die opkijken tegen politici? Politici zijn op een of andere manier een soort "ubermenschen" (goden) die het allemaal veel beter weten dan wij arme schaapjes?

We zijn een soort hulpeloze kindjes met z'n allen en politici kunnen veel beter bepalen wat goed voor ons is, dan wij zelf?

Dan weet ik niet waar ik moet beginnen met argumenten, want dan zijn we in feite een discussie aan het voeren over een religie. En niet over een politiek systeem. Een discussie met een religieuze heb ik nog nooit gewonnen...

Je kunt het proberen, maar ik vrees dat je dan iets andere ervaring en kennis/kunde moet hebben.
En verwijt jij bedrijven en overheid nu juist niet van het ontbreken van kennis en inzicht?

Zie vorige punt als je denkt dat mensen in de top van Unilever (of politici) belangrijke skills hebben anders dan "goede verkoper". Met kennis heeft dat allemaal weinig te maken, met ervaring een beetje en met persoonlijkheid alles. Waarbij eigenschappen als kunnen beïnvloeden (manipuleren), kunnen overtuigen en kunnen liegen veruit de belangrijkste zijn.

Met kennis, kunde en inzicht heeft het allemaal vrij weinig te maken.

En mbt de coalitie, nogmaals, daar is voldoende mandaat voor in ons kiessysteem. Je hebt al gekozen voor een partij, de grootste ontbreekt vrijwel nooit en zo wel dan vertegenwoordigd deze alsnog het vereiste van... De meerderheid. En nee, het is misschien niet ideaal (er bestaat geen ideaal besturingsmodel), maar vanuit efficiëntie wel een model dat de doelstelling van de democratie, namelijk een grote dwarsdoorsnede van de bevolking vertegenwoordigen, invult.

En van dit verhaal geloof ik dus helemaal niets. Ook niet van je laatste zin. Onze coalitie politici kunnen 4 jaar lang, precies doen wat ze willen. Zonder enige mandaat anders dan "ze zijn ooit gekozen" door een meerderheid van het volk. In andere woorden: ze hebben de "goede verkopers praatjes" test doorstaan en kunnen vervolgens 4 jaar lang doen wat ze willen. Dit is een feit. Er bestaat geen manier om mensen weg te stemmen en er bestaat ook geen manier om referenda af te dwingen. Ze kunnen dus letterlijk doen wat ze willen binnen hun groep, zonder enige input van burgers. En dit gebeurt ook aan de lopende band.

We lezen in de krant (als we het geluk hebben dat er wat uitlekt) schandaal na schandaal en kunnen er tot de volgende verkiezingen precies helemaal niets aan doen.

En daarnaast: democratie betekent niet dat het alleen maar gaat om de 50.1% van de burgers. Ook het belang van de minderheid wordt in onze democratie gediend. Door referenda wordt dit belang geheel 'weggestemd'.

Te gek inderdaad dat de christenen hun heilige koopzondag decennia lang mochten behouden. Daar hebben we echt wat aan gehad met z'n allen.

Om maar wat te noemen.

[Reactie gewijzigd door GeoBeo op 23 juli 2024 15:17]

Edgarz @GeoBeo • 12 juli 2019 14:31

OK, puntsgewijs :
- Dat zeg je niet maar daar draait het uiteindelijk wel op uit. 30.000 stemmen om een onderwerp in referendum te krijgen is erg laagdrempelig ren opzichte van 6 mio kiesgerechtigden.

- Politici weten zelf niet alles. Daar hebben zij een ambtelijk apparaat voor met terzake zeer deskundige vakmensen. Politici brengen het voor de bühne. Ken de werking van het staatsbestel...

- Het is een feit dat ontwikkelingshulp ook eigen belang is...voor onszelf. Denk er maar eens over na: Je creëert er handelspartners mee en voorkomt dat de wereld te sterk polariseert (arm en rijk). De trek van zuid naar noord kan echt nog veel erger dan die nu is.

Corruptie keurt iedereen af (behalve als ze er zelf beter van worden). Echter, als corruptie kan voorkomen dat 1000-en mensen sterven omdat met de ontwikkelingshulp voedsel gekocht kan worden dan ben je wel een erg raar type. Voor jouw principe moeten 1000-en andere, onschuldigen sterven. Da's op zijn zachtst gezegd onmenselijk. Maar makkelijk gezegd vanachter je mooie pc in je warme huisje en met al je boodschapjes in huis. Dat jij hier geboren bent en niet daar, dat is niet jouw verdienste. Da's gewoon toeval.

- Wat zijn jouw palmares die jou naar de top van je vakgebied hebben gestuwd? Of heb je die niet en moet iedereen vanzelfsprekend bewondering hebben voor jou en wat je (denkt) bereikt te hebben? Als je echt denkt dat een bedrijf besturen niets meer is dan 'goed verkopen' dan vrees ik dat je nooit in een bestuur of hoger kader functie terecht gaat komen. Dat zul je ook niet willen ongetwijfeld, zul je gaan zeggen dus dat komt goed uit.

- Zijn burgers makke schapen. Dat zijn niet mijn woorden. Ik heb zelf ten tijde van het Oekraïne referendum een poll gedaan onder 2000 respondenten. 85% (!) kon niet antwoorden op de vraag wat er in het verdrag geregeld werd. 65% 'dacht' dat het over toetreding tot de EU ging. Op de vraag aan Nee-stemmers of men op basis van de inhoud van het verdrag 'nee' zou stemmen zei 93% dat dat inderdaad de basis was voor hun keuze. Terwijl 85% niet kon aangeven wat er in het verdrag stond.

Oftwel, de burger is geen mak schaap. De burger heeft in doorsnee wel last van twee andere aandoeningen: Zelfoverschatting en gebrek aan kennis.
En die combinatie wil jij loslaten op het landsbestuur...

- De coalitie.
Geloof het of niet, maar zo werkt het. Simpel gevalletje staatsrecht. Geen twijfel over mogelijk.

Thystan @Edgarz • 16 juli 2019 16:15

Gezien het gemiddeld aantal abonnees van elke politieke partij onder de 50.000 ligt, dan vind ik 30,000 niet laagdrempelig

Edgarz @Thystan • 16 juli 2019 19:34

Leden zijn heel wat anders dan stemmers...

Thystan @Edgarz • 17 juli 2019 16:13

Die leden bepalen wel op wie jij uberhaupt kan stemmen.

Edgarz @Thystan • 17 juli 2019 21:34

Nee, behalve bij de PVV, want die heeft maar 1 lid :-)
Wie er gekozen kan worden wordt bepaald door een kiesraad bij de meeste partijen. daar hebben leden geen directe inspraak in. Je kunt jezelf als lid wel kandideren.Bij de meeste partijen krijgen de leden geen lijst voorgelegd van kandidaten.

redzebrax @GeoBeo • 11 juli 2019 19:18

Het is vaak nog iets complexer dan simpelweg op voorhand inschatten wat een stuk software gaat kosten "Inclusief onderhoud, inclusief aanpassingen, inclusief her-trainen van personeel, inclusief herschrijven en inclusief updates"
bv.
1. Vaak worden tools intern geschreven, specifiek voor complexe testomgevingen of andere unieke omstandigheden, oorspronkelijk bedoeld voor 1 project en offline gebruik. Nadien worden echter stukken code hergebruikt (of zelfs de hele run) vaak uit noodzaak omdat de oorspronkelijke kennis verdwenen is zonder te beseffen dat deze tools voor offline use waren (en een bedrijf heeft soms geen keus : het is dat of niks).
2. Er bestaat bijzonder dure hardware die niet eenvoudig te vervangen is en afhankelijk is van oude OS.
3. Sommige bedrijven kopen complexe systemen van gerenommeerde bedrijven inclusief onderhoudscontracten om dan te zien dat deze bedrijven op slag en keer failliet zijn of support eenzijdig opzeggen. Daar zit je dan met je geschatte levensduur.

[Reactie gewijzigd door redzebrax op 23 juli 2024 15:17]

Thystan @redzebrax • 16 juli 2019 16:29

Goede toevoeging. Post was te oud om +2 te geven

flossed @GeoBeo • 11 juli 2019 19:07

Je lijkt veel kennis van zaken te hebben over it projecten bij de overheid, ooit zelf hewerkt bij de overheid?

Mieske666 @D0phoofd • 11 juli 2019 12:37

Dat is een heel goed punt. Maar natuurlijk niet de schuld van MS. We zien denk ik met zijn allen dat het uiteindelijk om de centen gaat en niet een goede applicatie in dit geval. Ik denk dat MS heel graag de stekker uit alle niet courante Windows versies zou willen trekken.

Er zijn zelfs tekenen dat Windows niet meer dan een GUI voor een Linux distrubitie gaat worden. Laat een ander bedrijf maar de kopzorgen hebben van backwards compatibility.

[Reactie gewijzigd door Mieske666 op 23 juli 2024 15:17]

TheVivaldi @D0phoofd • 11 juli 2019 12:53

"Die nalatigheid mag in mijn (waarschijnlijk onpopulaire) mening wel geëxploiteerd worden..."

Op zich ben ik het niet met je oneens, maar dan alleen als er geen misbruik plaatsvindt. Dus geen gegevens stelen en zo (hooguit misschien een paar documenten om te bewijzen dat er een lek is).

Gutteguttegut @D0phoofd • 11 juli 2019 12:58

Of dit "nieuws" wordt door Microsoft via ESET de wereld in gebracht om ervoor te zorgen dat het aantal Windows 7 gebruikers sneller afneemt....

roderickneuhoff @Gutteguttegut • 11 juli 2019 14:27

Als dit echt zo was waarom zou microsoft hier voor een patch uitbrengen?
aluminium hoedje kopen?

Gutteguttegut @roderickneuhoff • 11 juli 2019 20:59

Kijk even wat er na de vier puntjes komt...

tERRiON @D0phoofd • 11 juli 2019 13:22

En als men alsnog kritische legacy software moeten draaien, kan dat denk ik ook onder Linux met wine of mono lijkt mij.

Ok. Maar je weet dat legacy software pas na jaren legacy software is, hè?

Ik geef het je te doen: Software dat jaaaaren op een server draait naar een andere server met Wine of Mono migreren en dan ook nog verwachten dat het werkt.

Die nalatigheid mag in mijn (waarschijnlijk onpopulaire) mening wel geëxploiteerd worden...

Ok. Maar je begrijpt dat de misbruik van de nalatigheid bij het ene bedrijf ook tot overlast kan zorgen bij anderen die helemaal niets met het nalatige bedrijf te maken hebben?

n9iels

@D0phoofd • 11 juli 2019 13:18

Het is te hopen dat MS wel de ballen heeft om op de einddatum er echt mee te stoppen. En niet tegen betaling langer door gaat, of het toch uitstelt.

divvid @n9iels • 12 juli 2019 21:01

Reken maar dat ze niet stoppen met support. Win7 draait nog bij enorm veel bedrijven, ook hele grote. Echt niet alleen bij overheden hoor ( overigens draaide de overheids instelling waar ik een jaar of drie geleden werkte gewoon win10 of Linux, je mocht kiezen als je een case had voor Linux gebruik) de Win 10 image konden we in qemu starten zodat we toch bij allerlei windows spul konden)

ChAiNsAwII @D0phoofd • 11 juli 2019 20:31

En jij denkt dat in win 10 geen zero days zitten ?

mikesmit 11 juli 2019 12:23

Deze kwetsbaarheid vereist nog steeds dat er een, speciaal daarvoor gemaakt, programma geopend word op een pc waar ingelogd is. Veel it beheerders blokkeren het openen van executables waardoor deze aanval niet werkt.

Iblies @mikesmit • 11 juli 2019 12:40

Wel wijst het beveiligingsbedrijf de Buhtrap-groep aan, een hackergroepering die sinds 2014 actief is en aanvankelijk vooral Russische bedrijven aanviel. Sinds een paar jaar richt de groep zich echter niet alleen op financiële doelen, maar ook op spionage. ESET zegt dat de huidige malwareaanval onder meer wachtwoorden probeerde te stelen uit mailprogramma's en browsers.

Ten eerste moet je genoeg IT-beheerders hebben, ten tweede moet je de systemen dusdanig dichtgetimmerd hebben dat ze niets anders kunnen doen dan waarvoor ze bedoeld zijn.

Alleen daar zie ik het al misgaan.

Je loopt tegen het probleem aan dat afgelegen gemeentes niet altijd genoeg apparatuur is dat ook genoeg beschermd is, BYOD,
daarnaast wordt ook daar steeds meer in the cloud over het internet gewerkt om in databases te komen.

Een ketting is zo sterk als de zwakste schakel en dat zijn er helaas genoeg.

Berlinetta @Iblies • 11 juli 2019 12:59

Het probleem met alles dicht timmeren (Dit ligt denk ik aan mij) Dat heel moeilijk wordt om iets nieuws op te zetten en de volledige controle hebben over software die je wilt gebruiken.

Zelfs in een test omgeving was er teveel moeite om mijn product te lanceren wat er toe leidt dat ik niet veel kon doen. De test omgeving is er niks voor niks om dit soort dingen na te kijken. En zelfs dan nog was er een menselijke fout die mij teveel toegang gaf tot iets.

jamont @Iblies • 11 juli 2019 13:09

Een ketting is zo sterk als de zwakste schakel en dat zijn er helaas genoeg.

Daar komt ook nog bij dat, zeker als er ICT kennis ontbreekt, de ICT budgetten vaak ingekort worden of al veel te klein zijn. Maar als men dan toch een partij inhuurt om hun ICT te onderhouden, en dit bedrijf doet hun werk goed, dan gaan ze zich afvragen waar ze die partij nou precies voor betalen.

Verlies / verlies situatie

The Zep Man

Beveiliging en antivirus
Security

@mikesmit • 11 juli 2019 12:25

Veel it beheerders blokkeren het openen van executables waardoor deze aanval niet werkt.

Maar blokkeren zij bijvoorbeeld ook macro's in Office documenten? Zo niet, dan is dat ook een manier om binnen te komen.

n9iels

@The Zep Man • 11 juli 2019 13:16

Zelfs zonder macro's zijn er manieren bij oude office producten om code uit te voeren 🤪. De CVE lijst van Office is heel lang en wordt vaak over het hoofd gezien bij beheer als er updates worden gedaan.

Mektheb @The Zep Man • 11 juli 2019 20:47

Alle macros tenzij gesigned.

Slurpgeit @mikesmit • 11 juli 2019 13:32

Tenminste, dat denken ze. Vervolgens staan ze bijvoorbeeld wel alle door Microsoft gesigneerde executables toe waarmee je ook nog prima code kan uitvoeren:

https://lolbas-project.github.io/

m3gA 11 juli 2019 12:20

Gelukkig zitten de meeste overheidsinstellingen nog op XP

Tweekzor @m3gA • 11 juli 2019 13:02

Uit het persbericht over deze ontdekking:

Windows XP and Windows Server 2003 are also affected, but these versions are not supported by Microsoft.

Dus dat gaat helaas niet meer werken, ook al was je opmerking voornamelijk als grap bedoeld.

Bron: https://www.eset.com/int/...a-highly-targeted-attack/

Verwijderd @m3gA • 11 juli 2019 13:51

Hahaha, goeie

Erg genoeg zit er ook nog een kern van waarheid in.

ajolla @m3gA • 11 juli 2019 23:31

En dat is niet lek.

ToolBee @ajolla • 12 juli 2019 00:26

Het is bijna "security by obscurity" geworden als je nu nog XP draait.

The Zep Man

Beveiliging en antivirus
Security

11 juli 2019 12:22

De kwetsbaarheid werkt alleen op Windows 7 en Windows Server 2008.

(...)

Het lek was te misbruiken op oudere versies van Windows 7 en op Windows Server 2008 en 2008 R2.

Dus het lek zal ook wel te misbruiken zijn op Windows Vista. Windows Server 2008 en Windows Vista delen dezelfde code.

Niet dat dit veel uitmaakt. Server 2008, Server 2008 R2 en 7 worden nog ondersteund. Vista niet meer.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 15:17]

cherrycoke 11 juli 2019 21:52

ik zou het toch verplichten om overheids instellingscomputers te sandboxen of anders te virtualiseren.

Skunk1966 12 juli 2019 12:32

Telemetry en data collectie op Windows 7 is een stuk eenvoudiger te voorkomen/blokkeren dan in Windows 10.
Het fijnste van de oplossing die M$ gepubliceerd heeft om bovenstaande 0-day te fiksen is dat ze er misbruik van maken bij M$ door onaangekondigd meteen maar telemetry & data collectie in de security-only update te verwerken:
https://www.askwoody.com/...win7-security-only-patch/

Skunk1966 12 juli 2019 14:17

Del.

[Reactie gewijzigd door Skunk1966 op 23 juli 2024 15:17]

regmaster @iMars • 11 juli 2019 13:09

Hoezo? MS moet zijn shit gewoon op orde hebben. Dit is geen nieuw lek want het bestaat al een tijdje namelijk. Dat MS gebruikers, van een nog steeds gesupport OS, opzettelijk grote risico's laat lopen door laks om te gaan met de veiligheid zegt meer over de associale houding van MS dan over de gebruikers. Bij Windows 7 zijn wij nog gebruikers, Windows 10 'gebruikers' zijn het product en hebben sowieso niet veel meer te willen. En dan nog ruim 200 euro moeten betalen voor een product dat niets beter doet dan Windows 7 en waar je als betalende klant ook nog het product van bent. Ik weet het niet hoor maar ergens klopt er in het verhaal van MS iets niet. Waarom zou ik moeten betalen voor iets waarvan ik zelf het product ben, althans mijn gegevens? Google geeft het nog tenminste 'gratis' weg waarbij je weet dat je betaald met je data. Bij MS betaal je in feite MS om geld met jouw data te verdienen. Slechte business case voor de gebruiker maar goed voor MS en voor het betaalde pro MS trollenleger hier.

rickboy333 @regmaster • 11 juli 2019 17:16

Dus volgens jouw bevat Windows 7 geen telematrie en spying? Want ook windows 7 bevat telematrie en spying on users. Win 7 users zijn net zo goed een product.

Wil je daar vanaf moet je Linux gebruiken. Wil je toch MS programma's draaien moet je spying en telematrie van win 10 accepteren (evt met win 10 pricacy tooltjes). Bij win 7 blijven is behalve een false sense of privacy ook nog eens "gevaarlijk" zeker volgend jaar.

Alex3 @iMars • 11 juli 2019 14:37

Dan zie je blijkbaar meer service packs dan ik: https://en.wikipedia.org/wiki/Windows_7#Updates

iMars @Alex3 • 11 juli 2019 17:26

Ja, my bad, ik dacht dat er meer SP's waren...

Op dit item kan niet meer gereageerd worden.

ESET ontdekt zeroday in Windows 7 die tegen overheidsinstelling werd gebruikt

Lees meer

Gemeenten moeizaam naar Windows 10

Reacties (54)

Sorteer op:

Weergave: