SecurityFocus geeft beveiligingstips aan Microsoft

De vooral op beveiliging gerichte site SecurityFocus heeft een artikel gepubliceerd waarin Microsoft een aantal aanbevelingen wordt gedaan om zijn toekomstige software veiliger te maken. De aanleiding voor dit stuk is de memo die Bill Gates vorige week aan zijn medewerkers stuurde. Hierin wees hij op het belang van privacy en beveiliging. Door meer aandacht op dit onderwerp te richten, hoopt Microsoft het langzaam afbrokkelende vertrouwen in zijn producten terug te winnen.

"Vertrouwen moet je verdienen, het is niet iets wat je zomaar krijgt" zeggen de schrijvers van het artikel. Ze willen met deze aanbevelingen niet een complete richtlijn geven voor het schrijven van veilige software, daar komt wel wat meer bij kijken:

These are specific and measurable changes that we would like Microsoft to make. This is not intended to be an exhaustive list: building secure software requires much more than what we delineate here. Our goal is to provide a list of measurable recommendations, so that the community can judge Microsoft's sincerity.

Some of our recommendations are easier to implement than others, but if Microsoft is serious about security and wants to take a true leadership position, they can't shirk any of them. Some of our changes are easier to verify than others, but it is our goal that all of them be independently measurable. In the end, the pronouncements and press releases don't mean a thing. In security, what matters are results.

In het artikel wordt onder andere gesproken over de default installatie van het besturingssysteem: er wordt meer software op de pc gezet dan de meeste gebruikers nodig hebben. Daarnaast vindt Security Focus dat gecombineerde complexe producten zoals Internet Information Services in aparte stukken opgedeeld moeten worden. Nu wordt er bij de installatie van IIS behalve een webserver ook een FTP-server en nog diverse andere, soms onbekende, zaken geïnstalleerd.

paulhekje gaf ons de tip.

Lees meer

Reacties (35)

Ganymedus 25 januari 2002 13:34

Ik hoop dat ze dan eindelijk wat kunnen doen aan de gaatjes van XP, want zelfs na het verwijderen van de accounts die besturen op afstand mogelijk maakt kun je nog steeds met ieder gemak de pc van de onwetende gebr ergens anders op de wereld overnemen, terwijl die dan bijna iedere voorzorgsmaatregel heeft getroffen die microsoft biedt.
En wij gaan er ook mee werken

Okay voor de mensen die hacken leuk vinden, bij 'ons' op het kantoor draaien een paar pilot xp machines en die staan niet achter de firewall. :-þ Dus wie zich geroepen voelt.

/edit
schrijffoutje weggehaald, was erg fout namelijk.

SlaSauS @Ganymedus • 26 januari 2002 12:52

leuk gebaar van securityfocus natuurlijk, maar microsoft is een grote multinational met 10000en specialisten dus ik denk niet dat dit ene mailtje nu veel verandering zal brengen.

ms heeft dus ook echt wel genoeg kennis daar rond lopen, tis meer een kwestie van management en de prioriteiten die zij stellen. ik denk niet dat een extern bedrijf als securityfocus daar veel verandering in kan brengen.

het feit dat er intern (van bill gates) memo's rond gaan is natuurlijk van veel grotere invloed.

mvt 25 januari 2002 13:38

Een memo versturen en dan een uitgebreid veiligheids advies krijgen van buitenstaanders, heeft ie goed voor elkaar die Bill.
Nu is het afwachten of de tips voor Bill acceptabel zijn, product opdeling lijkt me nou niet echt iets waar hij op zit te wachten. En als Bill denkt deze tips te gebruiken, is het ook maar wachten in hoeverre deze (goed) geimplementeerd worden

Ortep

@mvt • 25 januari 2002 13:50

product opdeling lijkt me nou niet echt iets waar hij op zit te wachten.

Het gaat niet om het opsplitsen van XP maar om dingen die tegelijk op je systeem gezet worden. Dus als je de webserver er opzet moet je niet direkt ook de FTP server 'kado' krijgen. Dat zou een aparte optie moeten zijn.

afterburn @Ortep • 25 januari 2002 14:08

Daar hebben ze dan ook de optie "Custom Install" voor. Kun je zelf bepalen welk onderdeel geinstalleerd wordt (of niet). En gezien het feit dat een goede sysadmin altijd een custom install doet omdat ie wil zien wat er op zijn systeem komt te staan, zelfs als ie de default opties laat staan, is dit niet echt een issue.

Ortep

@afterburn • 25 januari 2002 14:19

Klopt helemaal. Waar het vaak op mis gaat is dat je moet zoeken naar die optie. Hij is vaak verstopt of staat om een minder logische plaats. Eigenlijk zou het andersom moeten zijn. Je krijgt een lijst met keuzes en daar mag van mij dan wel bij staan recommended. Maar ik wil wel zelf aanvinken.

Parlor_Inventor 25 januari 2002 13:47

*there's always one more bug*

Maar volgens mij zijn de meeste Microsoft-programma's en OS-en niet echt geschreven om veilig te zijn. Ik bedoel, in de tijd dat de basis voor de meeste Office-applicaties gelegd is, en misschien in minder mate de basis van de NT-kernel gelegd is, was veiligheid tegen inbraak van buitenaf absoluut geen issue. Als er al een verbinding naar buiten was, was dat door middel van een vaste lijn op een gesloten WAN, en werd dat met een systeem van een ander bedrijf gedaan (UNIX, Cisco, hardware-firewall). De eerste versies van NT4 hadden zelfs geen eigen TCP/IP stack. En dan vraag ik me af hoe goed iets met een onveilige, maar verder misschien goed functionerende code-base te beveiligen is, en hoever je kunt komen zonder een volledige rewrite (iets waar MS om redelijk gegronde redenen tegen is). Met de sources die ze nu hebben is niet zo veel te beginnen lijkt me....

warp @Parlor_Inventor • 25 januari 2002 14:47

De eerste versies van NT4 hadden zelfs geen eigen TCP/IP stack

Goh, welke NT4 versies bedoel je dan precies?

NT4 heeft wel degelijk een eigen TCP/IP stack.

Parlor_Inventor @warp • 25 januari 2002 14:56

Volgens mij was het met NT4SP1 Server NL dat ik met geen mogelijkheid verbinding kon maken met mijn Linux-server om daar een servicepack van af te halen. Ik had het systeem namelijk geinstalleerd met een tijdelijke cdromspeler en de cdromspeler er uit gehaald toen NT er op stond, en ik had geen zin om die cdromspeler er weer in te bouwen of om met >25 floppy's te werken.... En toen ik er naar op zoek ging op internet kwam ik er achter dat TCP/IP idd niet ondersteund werd in die versie, en dat dat pas vanaf SP2 het geval was....

warp @Parlor_Inventor • 25 januari 2002 15:59

NT4 ondersteund TCP/IP wel degelijk vanaf de eerste release (dus zonder SP's).

Dus.. dan heb jij indertijd

1) of iets fout gedaan,
2) of TCP/IP niet geinstalleerd.

Sterker nog, NT3.1, NT3.5 en N3.51 ondersteunden ook al TCP/IP!

Ben je niet abuis met WFW3.11?
Daar moest je idd een afzonderlijk TCP/IP pakket voor installeren.

Verwijderd @Parlor_Inventor • 26 januari 2002 20:46

het zal idd wel wfw geweest zijn zijn NT heeft die ondersteuning al sinds jaar en dag

Nielsz 25 januari 2002 13:37

Beetje misleidend imho;
ik kan ook op mijn website zeggen wat Microsoft beter zou moeten doen; het is niet zo dat er direct contact geweest is tussen microsoft en SecurityFocus imo.

Bobco @Nielsz • 25 januari 2002 15:58

Imnsho is dit niet erg misleidend. SecurityFocus is op beveiligingsgebied een belangrijke bron van informatie voor mensen die zich daar beroepshalve mee bzeig houden. Microsoft zal deze site zeker volgen, en wat belangrijker is: MS weet dat dit soort artikelen door veel professionals gelezen worden en dus zal dit MS nog meer verplichten om daadwerkelijk iets aan fundamentele beveiliging te gaan doen.

Verwijderd 25 januari 2002 13:35

Ik heb wel 't idee dat er nu met XP 'n stap in de goede richting gezet is. Het is wel zo dat de interne firewall verre van veilig is & duidelijk verbeterd zal moeten worden.
Gelukkig worden er nu in ieder geval niet 'n hoop services standaard geinstalleerd, dat scheelt in ieder geval al weer 'n stuk, omdat 'n hoop mensen niet eens weten, wat er precies geinstalleerd wordt.

Het enige wat ze nu wel (redelijk) goed beveiligd hebben is 't oneigenlijk gebruik van XP, zo goed dat 'n hoop legale gebruikers er de dupe van zijn.

yared 25 januari 2002 13:35

Geen idee welke tools ik allemaal gebruik..

Is er niet een tool die dat zou kunnen meten?
Iets wat bijhoudt hoeveel je daadwerkelijk gebruik maakt van alles wat je maar installeert en dan bedoel ik niet zo'n opruim tool die je verteld dat je "orphan dll's" hebt staan, maar iets omvangrijker en meer meedenkender zodat ook de gemiddelde ikke ermee uit de voeten kan.

Zou natuurlijk helemaal mooi zijn als de update functie me zou vertellen dat ik het laatste loophole in IE nog niet gedicht heb.. (tja een mens mag dromen

)

Verwijderd @yared • 25 januari 2002 14:23

je meot eens voor de gein kijken op de Microsoft Personal Security Advisor:
http://www.microsoft.com/technet/mpsa/start.asp

Die gaat wat scans af op je systeem en geeft wat aanwijzingen voor het veiliger maken van het systeem.
Ook kijkt ie als alle hotfixxed ed. zijn geinstalleerd.

Ik moet wel zeggen dat de laatste optie onder een NL talige windows niet perfect werkt.

Mordred 25 januari 2002 14:08

Ik moet eerlijk zeggen dat ik in ieder geval niet gauw meer zal vertrouwen op Microsoft producten wat betreft beveiliging. Mij lijkt dat er genoeg mensen zijn die het wel belangrijk vinden dat Microsoft zich meer op beveiliging gaat richten. Maar als je beveiliging van je systeem echt belangrijk vindt, lijkt het me meer van belang dat besturingssystemen zoals Linux gebruiksvriendelijker worden gemaakt en er voor deze systemen meer software ontwikkeld gaat worden.

Verwijderd @Mordred • 25 januari 2002 16:01

Hoi,

Het geklaag op Microsoft is soms niet terrecht. Op dit moment blijkt Microsoft wel degelijk maatregelen snel te nemen, terwijl dit bij Linux soms langzaam gaat.

Beveiliging vindt iedereen nu heel normaal dat een OS dat 'is'. Maar dat ligt gewoon anders. Het TCP/IP protocol is bijvoorbeeld niet een beveiligd protocol, je zult er dus iets 'omheen' moeten zetten om het te beveiligen. Op te lossen door poorten dicht te zetten en alleen een non-admin user surfrechten te geven en dergelijke.

Let wel: beveiliging stelt hoge eisen aan de gebruiker. Als je echt een super veilig systeem wilt hebben zul je veel moeten lezen over dit soort issues en bovendien continu checks doen op jouw systeem. Het is niet een kwestie van effe een veilig OSje kopen. Nee je koopt een OS en kijkt hoe je de beveiliging kan gaan verbeteren. En dus niet effe een vinkje zetten bij 'high protection'

Ik geef toe: de alles ineen oplossing van bv Windows XP is vaak niet handig. Ik wil m'n eigen firewall kunnen kiezen en ik vertrouw het registratie systeem van MS voor geen meter. Maar goed, da's persoonlijk

Bobco @Verwijderd • 25 januari 2002 17:18

Het geklaag op Microsoft is soms niet terrecht. Op dit moment blijkt Microsoft wel degelijk maatregelen snel te nemen, terwijl dit bij Linux soms langzaam gaat.

Welke maatrgelen zijn dat? Er zijn tot nu toe alleen patches uitgekomen voor fouten die er al in zaten, er is een betere beschrijving van hoe je een windows-systeem veiliger kunt maken en nu is er dit memo van B. Gates.

Microsoft geeft hiermee duidelijk aan dat ze in ieder geval willen laten zien dat ze beveiliging serieus nemen, maar zoals ze bij Feyenoord zeggen: geen woorden, maar daden.

Verwijderd @Bobco • 26 januari 2002 20:49

Denk aan zaken als IIS lock down, security templates, massa's docjes over hoe je het moet toepassen. Ze zitten zeker niet stil

@Verwijderd • 25 januari 2002 17:21

Exsqueeze me?
Kun je ff 1 voorbeeld geven waar dit het geval is? *nix is altijd veel sneller gewseest, en dankzij OSS kan *IEDEREEN* een patch maken en uploaden.

Overigens: Ooit een OpenBSD geprobeerd? Das echt wel secure out-of-the-box. Sterker nog, het wordt erg afgeraden om er na installatie nog mee te klooien

Battle Bunny 25 januari 2002 14:18

D'r is tegen alles wel wat te zeggen (die voorbeelden dan). IIS in meerdere delen lijkt me niet wijs omdat je dan meer overhead krijgt door interne communicatie. IIS's FTP server (die inderdaad SUPER brak is) kun je gewoon uitzetten, en dat geldtdt ook voor de extra zut die met Windows mee komt. Allé, een minimale install als default zetten lijkt me handig, maar dit gaat een beetje tever imho.

Verwijderd @Battle Bunny • 25 januari 2002 14:28

Je hebt veiligheid of je hebt het niet. Ze zeggen bijv. helemaal niet dat Microsoft de IIS niet inclusief ftp en whatever onderdelen moet verkopen. Ze zeggen alleen dat de gebruiker bewust bepaalde onderdelen moet installeren. Dat betekend bijvoorbeeld een setup scherm waar je (een tegelijk) kunt kiezen voor installatie van IIS ftp, IIS gopher, IIS http en wat al niet meer. Die delen kunnen best gebruik maken van gedeelde componenten voor verbetering van de performance.

IIS in meerdere delen lijkt me niet wijs omdat je dan meer overhead krijgt door interne communicatie

Er vindt als het goed is geheel geen communicatie plaats tussen ftp, http, gopher, etc componenten. Wat gedeeld kan worden is bijv. de authenticatie (password checking), niet veel meer. Voor overhead zorgt het zeker niet. De performance zou zelfs kunnen verbeteren doordat onnodige zaken niet geladen worden.

Masselink 25 januari 2002 14:18

Waar ik bang voor ben is dat Microsoft meer aan beveiliging gaat doen (of welke andere fabrikant dan ook), dan kan er een vals gevoel van veiligheid ontstaan. Met andere woorden je dnekt dat je veilig bent.

Nu gaan er al eens geruchten van mensen die zeggen veilig te zijn omdat ze alle laatste patches hebben geinstalleerd. Hier is nieuws voor iedereen, je bent nooit veilig. Microsoft (en de andere fabrikanten) kunnen hoogstens een stap in de goede richting doen, door Personal Firewall software op te nemen, etc....maar dan ben je er nog lang niet....

leuk dat securityfocus tips geeft, maar dan zijn er wel weer andere zaken waar hackers/crackers etc zich op gaan richten. Een firewall meeleveren wil nog niet betekenen dat deze goed beheerd word. Een virusscanner die niet ge-update word is net zo goed als geen virusscanner.

Ik denk dat fabrikanten meer succes hebben door gebruikers op te leiden, dan risico's voor ze te gaan afdekken.
my € 0,02

Verwijderd @Verwijderd • 25 januari 2002 13:39

Het gaat niet over de beveiliging die Microsoft voor zichzelf gebruikt voor hun producten, zoals de activatie die jij dus noemt. Maar om de (hack)beveiling voor de gebruiker van het OS.

Microsoft is veel vertrouwen kwijtgeraakt dankzij bugs en gaten in hun producten en nu willen ze zichzelf een nieuw en `veiliger` imago aanmeten.

Nielsz @Verwijderd • 25 januari 2002 13:39

Ga er maar vanuit dat dit pas het begin is hoor, want het is nu veel makkelijker controleren of een versie legaal is of niet. En daar maken ze strax gebruik van.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (35)

Sorteer op:

Weergave: