Top-20 van veiligheidslekken onder Windows en Unix

Net als voorgaande jaren heeft de FBI in samenwerking met het SANS-Institute (SysAdmin, Audit, Networking and Security) een lijst opgesteld met de belangrijkste beveiligingsfouten onder Windows en Unix. Van beide besturingssystemen en samenhangende software heeft men tien lekken verzameld, die volgens de onderzoekers zo snel mogelijk gedicht dienen te worden. In de highscores van Windows wordt voornamelijk Microsoft's Internet Information Services vaak genoemd, terwijl aan het Unix-front de Apache Webserver er niet goed vanaf komt. Ook Microsoft's SQL Server en Internet Explorer, en Unix' SSH en FTP komen voor op de blacklist:

The majority of the successful attacks on operating systems come from only a few software vulnerabilities. This can be attributed to the fact that attackers are opportunistic, take the easiest and most convenient route, and exploit the best-known flaws with the most effective and widely available attack tools. They count on organizations not fixing the problems, and they often attack indiscriminately, scanning the Internet for any vulnerable systems. System compromises in the Solar Sunrise Pentagon hacking incident, for example, and the easy and rapid spread of the Code Red and NIMDA worms can be traced to exploitation of unpatched vulnerabilities.

Reacties (47)

Skyclad 3 oktober 2002 15:33

Hebben ze ook een lijstje van hoe lang het duurde voordat er een patch beschikbaar was nadat het bekend werd?

SirBlade @Skyclad • 3 oktober 2002 16:53

Most of these exploits are successful only against older versions of the software. In fact, Sendmail has not had a 'high' severity vulnerability in more two years. Despite the fact that these older problems are well documented and have been repaired in newer releases, there remain so many outdated or mis-configured versions still in use today that Sendmail remains one of the most frequently attacked services.

Wat maakt het uit hoe snel een patch beschikbaar wordt als mensen hem niet installeren.

Ik denk dat het een hele goede ontwikkeling zou zijn als er in de linux-distributies een auto-update komt te zitten die standaard aan staat.

En dat de eigenaar van een pc verantwoordelijk gehouden kan worden voor schade die via zijn pc aan andere word aangericht. Zeker als het gaat om oude exploits. Ik weet dat sommige virussen binnen enkele uren de wereld rond gaan en dat daar nauwelijk tegen te werken is. Maar als jouw bak gekraakt via een maanden oude bug, en hij wordt vervolgens gebruikt voor een DDOS mogen ze je dat wel aanrekenen.

En geef providers de bevoegdheid hun klanten te scannen op bekende exploits en de indien gevonden tijdelijk af te sluiten.

Mischien harde maatregelen, maar gezien de schade die kan worden aangericht noodzakelijk.

basb @SirBlade • 3 oktober 2002 18:18

Autoupdate kan toe leiden dat het systeem niet meer opstart. Dit ben ik bij testen op bijv. compaq proliant 7000 servers tegen gekomen.

Sowieso is blindelings updaten van servers niet slim

Meestal gaat men pas beveiligen nadat er ingebroken is op het netwerk.

arjankoole @basb • 5 oktober 2002 15:07

helemaal correct, wij testen ook wel even 3 keer voor we iets definitief d'r in zetten.

dat van die Compaqs heb ik vaker gehoord ja, te belachelijk voor woorden als je d'r over nadenkt. Maar ja, Compaq verbouwt zoveel aan Hardware, en soms aan de windows versie die ze meeleveren, dat updates van Microsoft niet compatible zijn met de onderdelen van Compaq....

musiman

@SirBlade • 4 oktober 2002 08:53

Semi-automatisch is beter.
Oftewel, gewoon een knop op de desktop, welke ervoor zorgt dat gekeken wordt naar de geinstalleerde programma's en vervolgens (wel automatisch) de updates en security patches downloadt en installeert.

Zoiets heeft Caldera (tegenwoordig trouwens SCO genoemd) bijvoorbeeld in hun OpenLinux distro's.
Dit werkt als een tierelier.

Verwijderd @musiman • 4 oktober 2002 10:26

Of je neemt de Windows versie, en die stel je dan zo in dat je:
a) wordt gewaarschuwd als er nieuwe updates beschikbaar zijn, daarna opdracht geeft te downloaden, daarna opdracht geeft te installeren
b) wordt gewaarschuwd dat er nieuwe updates zijn en dat ze klaar zijn om te installeren (al gedownload)
c) alles volautomatisch gaat, als je toch geen mission critical systeem hebt.
Zo'n desktop knop is natuurlijk leuk, maar het probleem blijft hetzelfde: dan moeten mensen op die knop drukken... Daarom vind ik optie b het best: updates staan klaar maar je kan altijd nog besluiten of je ze wel of niet installeert... Tenzij je natuurlijk een dure internetverbinding hebt (in bytes/uur), want dan kun je beter voor optie a gaan...

Verwijderd @SirBlade • 4 oktober 2002 02:01

ik neem dat je dan ook vind dat elke windowsgebruiker die niet patched en viruszooi verspreid dan per definitie aangepakt moet worden?

lijkt me een mooi streven.. 95% minder users op het internet

Verwijderd @SirBlade • 4 oktober 2002 12:17

En dat de eigenaar van een pc verantwoordelijk gehouden kan worden voor schade die via zijn pc aan andere word aangericht. Zeker als het gaat om oude exploits.

Leuk is dat, dus als ik mijn auto een keer niet goed op slot doe, en iemand gaat ermee joyriden en richt wat schade aan andere auto's en wat winkels ofzo, moeten ze dat mij dan ook aanrekenen volgens jou?

Beetje scheve wereld krijg je dan... de hackers worden meestal niet aangepakt omdat die lastig zijn te tracen maar de eigenaren van de computers die ze misbruiken wel.

Verwijderd @Skyclad • 3 oktober 2002 15:35

Ik denk dat ze bedoelen dat die gaten nu nog volledig of gedeeltelijk open staan, dus over een lijst met patches kan (voorlopig) niets gezegd worden

Verwijderd @Verwijderd • 4 oktober 2002 10:35

Nope... er zijn een aantal issues die met bepaalde versies relevant zijn maar zij melden vanaf welke versie het Ok is.. bijv ssh:

http://www.sans.org/top20/#U3

cablepokerface 3 oktober 2002 16:41

Een ding is trouwens wel zeer opmerkelijk ... namelijk het feit dat Microsoft SQL Server op de derde plaats staat ... dat moet MS beslist pijn doen ...

The Microsoft SQL Server (MSSQL) contains several serious vulnerabilities that allow remote attackers to obtain sensitive information, alter database content, compromise SQL servers, and, in some configurations, compromise server hosts.
MSSQL vulnerabilities are well-publicized and actively under attack.

Poe ... het is ook geen kleine aantijging zeg ..

LuCarD @cablepokerface • 3 oktober 2002 16:50

Waarschijnlijk komt dit door de default installatie van MS SQL de server installeert zonder SA wachtwoord.

One of the most commonly attacked MSSQL exposures is that the default administrative account (known as "sa") is installed with a blank password. If your SQL "sa" account is not password-protected, you effectively have no security and can be affected by worms and other exploits. Therefore, you should follow the recommendation from the "System Administrator (SA) Login" topic in SQL Server Books Online to make sure that the built-in "sa" account has a strong password, even if your SQL server does not run using this account.

Crazy D @LuCarD • 3 oktober 2002 17:37

Dat is dus weer een fout van de systeembeheerder die vrolijk doorklikt zonder een wachtwoord in te voeren. Ik meen zelfs te herinneren (maar ja ik installeer SQL niet dagelijks...) dat er als je m leeg laat, ook nog eens een msgbox verschijnt.

(en er is al eens een discussie geweest of de mogelijkheid dat je het sa wachtwoord leeg kunt laten nou goed of fout is... zowel voor verplicht vullen als leeg kunnen laten is beiden wat te zeggen... en je mag toch sowieso van een systeembeheerder verwachten dat als ie de sql server al van buiten af benaderbaar laat zijn, hij wel dubbel checkt of het wachtwoord niet in 2 keer te raden is. Of je zorgt er gewoon voor dat je sql server niet te benaderen is van buiten af (en dan is een wachtwoord nog steeds wel erg slim maar is het al een heel klein beetje minder essentieel) Soms zou je willen dat MS dat soort server apps ook "net zo moeilijk" maakt als Linux software, commandline werk etc, zodat tenminste niet iedereen die een muis kan bedienen, het kan installeren).

Matthijs Hoekstra @Crazy D • 4 oktober 2002 00:10

Als ik bij ons op het werk een sql server installeer zonder sa password (bv op mijn lokale werkstation) kan ik de volgende dag niet meer op het ding inloggen. Er draait een proces op het netwerk wat automatisch het sa password zet als ie leeg is.

Bobco @Crazy D • 4 oktober 2002 09:00

Soms zou je willen dat MS dat soort server apps ook "net zo moeilijk" maakt als Linux software, commandline werk etc, zodat tenminste niet iedereen die een muis kan bedienen, het kan installeren).

Een voorbeeldje hoe het zou kunnen: bij Tomcat (applicatie-server van het Apache project) zit een applicatie die je in staat stelt om de zaak remote via een webinterface te beheren. Daarmee ben je dus in staat om de server te stoppen, te starten, applicaties toe te voegen, te verwijderen, te herstarten, kortom je bent de baas op die applicatie-server.

Om die webinterface te kunnen benaderen moet je inloggen in een administrator-rol, maar die zit niet standaard in de set-up en zul je dus handmatig moeten toevoegen. Dit is een voorbeeld van het het zou kunnen en volgens mij ook moet. Als je (potentieel) onveilige dingen wilt doen moet je dat bewust doen, het moet niet op de achtergrond even snel en handig door de installatie gedaan worden.

Ik heb nooit zo goed begrepen waarom Microsoft ons heel lang standaard heeft lastiggevallen met een Are you sure? dialoog als je een .tmp bestandje weggooit maar wel vrolijk standaard een niet erg goed beveiligde webserver op je systeem installeerde. Ondertussen is de situatie natuurlijk sterk verbeterd, en dat is maar goed ook.

Lennie @cablepokerface • 3 oktober 2002 18:44

Vannacht nog een nieuwe bekend gemaakt, hier de Cumulative Patch:
http://www.microsoft.com/technet/security/bulletin/MS02-056.asp

Verwijderd 3 oktober 2002 18:57

Uit de newspost:

terwijl aan het Unix-front de Apache Webserver er niet goed vanaf komt.

Maar dat is helemaal niet wat er in het artikel staat, lees maar:

Web administrators too often conclude that since Microsoft's Internet Information Server (IIS) is exceptionally prone to compromise (see W1. Internet Information Server), the open-source Apache web server is completely secure. While the comparison with IIS may be true, and although Apache has a well-deserved reputation for security, it has not proved invulnerable under scrutiny.

Kortom: apache komt er juist wél goed van af, zeker in vergelijking met IIS, maar het zijn de Apache-administrators die vaak te lichtzinnig denken over beveilingsfouten in de software.

alt-92 @Verwijderd • 3 oktober 2002 20:50

Maar dat is helemaal niet wat er in het artikel staat, lees maar:

Het is ook niet zoals jij brengt "helemaal niet", eerder "niet helemaal ".

De volgorde waarmee die twee woorden gebruikt zijn is nogal bepalend.
Apache is out of -the box inderdaad veiliger dan IIS, maar dat wil niet zeggen dat Apache onkwetsbaar is, iets wat de tweede quote ook aanhaalt.

Alleen wordt er nog te vaak gedacht dat Apache dus per definitie veilig is.
In vergelijking met IIS veiliger maar niet onkwetsbaar.

Apache staat tenslotte niet voor niks op de tweede plaats

Verwijderd @alt-92 • 3 oktober 2002 21:49

Apache staat tenslotte niet voor niks op de tweede plaats.

Als dat zo is, dan kun je nagaan hoe het met de rest van de "veiligheid" gesteld is, als er al een redelijk veilig produkt op de 2e plaats staat.

Brahiewahiewa @Verwijderd • 3 oktober 2002 22:48

Apache kun je dus geen "redelijk veilig product" meer noemen. Momenteel staan er in mijn log files meer probes van geïnfecteerde Apache servers dan van Code Red en Nimda geïnfecteerde IIS machines

Verwijderd @Verwijderd • 4 oktober 2002 10:39

Mischien zijn er gewoon erg veel apaches ....

EWS99 3 oktober 2002 15:36

Ik vind windows en Unix appels met peren vergelijken, omdat de services in windows van MS zelf zijn, maar de services van Unix zijn allemaal 3rd party.
In Unix zijn vaak meerdere varianten van een bepaalde service beschikbaar.

raptorix @EWS99 • 3 oktober 2002 15:39

Op zich heb je gelijk, echter de meeste services die vulnerable zijn onder MS OS'en kan je zelf (de)activeren, dan wel installeren.

In dat opzicht is er dus wel een vergelijking te trekken.

BaatZ 3 oktober 2002 15:38

In de highscores van Windows wordt voornamelijk Microsoft's Internet Information Services vaak genoemd, terwijl aan het Unix-front de Apache Webserver er niet goed vanaf komt. Ook Microsoft's SQL Server en Internet Explorer, en Unix' SSH en FTP komen voor op de blacklist:

Dat is ook niet zo verbazingwekkend.
Deze programma's en protocollen worden het meest gebruikt, dus is het het interessantst om daar eens goed naar bugs, exploits en lekken te zoeken, omdat je er dan het meeste mee kan.
Om uitgebreid te gaan zoeken naar gaten in software als "mijn eerste franse woordjes - op internet !" heeft totaal geen zin, omdat je dan als hacker alleen maar 1 persoon treft, maar met bijvoorbeeld apache tref je gelijk miljoenen servers.

Venator

3 oktober 2002 15:38

En dit zijn ze:

W1 Internet Information Services (IIS)
W2 Microsoft Data Access Components (MDAC) --
Remote Data Services
W3 Microsoft SQL Server
W4 NETBIOS -- Unprotected Windows NetworkingShares
W5 Anonymous Logon -- Null Sessions
W6 LAN Manager Authentication -- Weak LM Hashing
W7 General Windows Authentication -- Accounts
with No Passwords or Weak Passwords
W8 Internet Explorer
W9 Remote Registry Access
W10 Windows Scripting Host

Top Vulnerabilities to Unix Systems

U1 Remote Procedure Calls (RPC)
U2 Apache Web Server
U3 Secure Shell (SSH)
U4 Simple Network Management Protocol (SNMP)
U5 File Transfer Protocol (FTP)
U6 R-Services -- Trust Relationships
U7 Line Printer Daemon (LPD)
U8 Sendmail
U9 BIND/DNS
U10 General Unix Authentication -- Accounts with No
Passwords or Weak Passwords

Nu is de vraag of dit nu weer een pro unix/anti windows/pro windows/anti-unix thread gaat worden

Beaves @Venator • 3 oktober 2002 15:48

W7 General Windows Authentication -- Accounts
with No Passwords or Weak Passwords

Dat mag je eigenlijk niet het OS aanrekenen, maar een domme en luie sys-admin, het is toch niet zo moeilijk om tijdens de installatie het administator en root passwd in te voeren i.p.v. blind op "verder" te klikken?

Een OS kan nog zo veilig zijn, als de beheerder geen flauw benul heeft waar hij/zij mee bezig is dan doe je daar niets tegen. Ik krijg OpenBSD (toch een van de veiligste OS'en ter wereld) zo lek als een mandje.

In ieder geval vind ik die twee punten dus nergens op slaan...

rfoppen @Beaves • 3 oktober 2002 15:58

Helemaal gelijk maar het zou in principe nog beter zijn om bv geen lege w8woorden toe te staan binnen een OS (en al helemaal niet voor root \ administrator)

Zelfde vind ik gelden voor bv een nieuwe share binnen een windows OS meteen Everyone Full Control....... maak dat standaard gewoon Everyone Access Denied oid en je loopt tegen minder problemen aan. Meer werk maar goed dat moet dan maar

^Mo^ @rfoppen • 3 oktober 2002 17:12

Tja, maar moet je dan alles gaan verbieden?
Dan kun je net zo goed zeggen dat beheerders verplicht patches moeten installeren, een soort van verplichte windows- of linuxupdate zeg maar.
Veel van deze lekken die op de lijst staan is al een patch beschikbaar, maar de exploits hebben juist zoveel succes omdat admins het nalaten de patches te installeren.

QuarK @rfoppen • 3 oktober 2002 19:23

Even een voetnootje:
Na de installatie van SP1 voor WinXP staat bij mij het vinkje bij "Allow network users to change my files" uit als je een dir wilt gaan sharen.

McCormick @rfoppen • 4 oktober 2002 16:04

Alleen jammer dan dat dan NIEMAND dan toegang heeft, deny op everyone is per definitie geen toegang, maakt niet hoeveel allows je daar tegenover zet

Verwijderd @Beaves • 5 oktober 2002 20:53

Dat mag je eigenlijk niet het OS aanrekenen, maar een domme en luie sys-admin, het is toch niet zo moeilijk om tijdens de installatie het administator en root passwd in te voeren i.p.v. blind op "verder" te klikken?

Deels mee eens. Is positief voor de sysadmin wanneer het OS de sysadmin hiervoor waarschuwt. Of, iets harder beleid: dit onmogelijk maakt. Niet alleen slechte/geen wachtwoorden op root, ook op useraccounts is dit slecht. Lokaal komen er vaker lekken om de hoekkijken dan remote.

Je tweede punt klopt m.i. ook deels. Kijk, als deze admin nou netjes met z'n systemen om ging dan had hij de andere lekken ook gedicht. Dus wachtwoorden issue hoort er ook bij, het is alleen een ander 'soort' beveiligingsrisico dan de andere. Social engineering hoort hier ook bij.

Daarnaast worden de meeste cracks gemaakt dmv. een of meerdere configuratiefouten.

Verwijderd 3 oktober 2002 17:18

Een operating systeem is zo veilig als degene die hem onderhoudt. Ik gebruik hier Linux-Windows 2000 en Macos X naast elkaar. Ik gebruik zelfs Windows 2000 samen met winroute pro als router. Het enige wat ik hier gedaan heb is alle services die ik niet gebruik er letterlijk uit gesloopt. Dat betekent geen file-sharing, geen remote desktop, geen web-server, geen outlook express. Er staat wel Internet explorer op, maar op deze computer wordt dus niet gebrowsed en geen email verzonden of ontvangen. Keurig netjes op tijd de security-updates volgen voor datgene wat ik wel gebruik.
Nu praat ik natuurlijk vanuit een thuis-gebruiker wel heel makkelijk. Ik heb geen web-server te onderhouden. Maar mijn verhaal komt hier op neer, services die je niet gebruikt, UITZETTEN. services die je wel nodig hebt goed onderhouden en log-files bekijken.
Oja waarom gebuik in windows2000 als router en niet linux, wel ik ben met linux nog niet zover dat ik vindt dat ik die goed kan onderhouden.

Lennie @Verwijderd • 3 oktober 2002 18:51

Doe eens een 'netstat -na' via de commandline, ik ben benieuwd wat daar allemaal staat (waarschijnlijk schrik je nog wel, alles waarbij staat LISTENING zijn dus dingen die open staan), ik kon ze allemaal niet uitkrijgen, sommige die er stonden, als ik ze uitschakelde/deactiveerde (bijvoorbeeld via services), werkt de machine gelijk niet meer, Linux is wat dat betreft veel simpeler (voor mij dan

).

(ik heb dit toen der tijd eens voor een Windows WebServer geprobeerd).

Veel plezier met dingen uitzetten en merken dat dingen niet meer werken, er zijn ook zo veel afhankelijkheden en zo. Bijvoorbeeld, als je wilt dat IIS nog werkt, _moet_ de domain-zut werken.

frim 3 oktober 2002 15:32

volgens mij mag die site zelf wel eens naar zijn beveiligingslekken kijken

ik kom er iig niet op

Sir_Killalot @frim • 3 oktober 2002 15:36

Hier met Win 98SE en IE 6.0 SP1 wel

markjanssen 3 oktober 2002 15:47

Tja... er staat niet veel nieuws in... alle genoemde lekken zijn al erg oud, en verder staat er wat info waar iedere 'security-aware' admin toch al aan denkt (meer voor de niet zo slimme admins).

Voor alle genoemde problemen zijn fixes (voor zover software problemen), en de overige (r-commands, rpc etc) zou je helemaal niet moeten gebruiken, zeker niet open op het internet... maar dat weet ook iedereen wel...

cablepokerface 3 oktober 2002 16:39

Op zich wel leuk ... maar niets verbazends ... natuurlijk komen webservers boven aan die lijst te staan. Dat zijn de programma's die de http requests ontvangen en de opgevraagde informatie terugsturen.

Met de ontzettende mix aan Internet technologieen is het logisch dat de veiligheid van bijn iedere webserver wel op een bepaalde manier in gevaar komt ...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (47)

Sorteer op:

Weergave: