Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 71 reacties
Bron: New York Times, submitter: Longbeard

Microsoft wil de eigen software op een andere manier gaan distribueren. De achtergrond van deze plannen is de snel om zich heen grijpende 'Blaster' worm. Microsoft vindt dat het de klant beter zal moeten beschermen tegen dit soort problemen. Dit kan gebeuren door de software op een andere manier in te richten: bijvoorbeeld standaard met de firewall aan in plaats van uit. De gebruiker kan deze dan zelf uitzetten als hij dat wil. Windows XP wordt op dit moment verspreid met een gedeeltelijk geactiveerde firewall om zaken als online gamen makkelijker te maken. Windows Server 2003 wordt al verkocht met de firewall helemaal aan. Critici vinden echter dat Microsoft de klanten nog steeds in gevaar brengt middels software die veel fouten bevat. De klant moet zelf regelmatig patches downloaden om deze problemen te verhelpen. Het is te verwachten dat veel systemen echter niet wordt gepatcht, zo zegt Gregor Freund van ZoneLabs:

Worm"Microsoft's approach is absolutely broken," said Gregor Freund, chief executive of ZoneLabs, a computer security company in San Francisco. "You know ahead of time that 80 percent of the machines won't be patched. It's a public relations exercise."

Of the estimated 188,000 computers known to be infected, the company reported, nearly half � 48 percent � have been in the United States. Britain, with 15 percent of the infected machines, was a distinct second.
Moderatie-faq Wijzig weergave

Reacties (71)

Wat mij betreft ligt het aan de mensen die gewoon te lui zijn om updates uit te voeren. Je laat je auto toch ook APK-keuren? Dat is ook niet voor de grap.
Probleem is meestal dat je moet herstarten na een patch en juist daarom wordt er volgens niet direct geupdate als er patches beschikbaar komen.
Als M$ het nou zo zou maken dat er niet herstart hoeft te worden, en nou is dat met een werkstation geen ramp over het algemeen, maar met een server is dat een ander verhaal dan zou dat veel makkelijker worden. Het komt er veelal op neer dat dat buiten werktijd moet want anders ligt het bedrijf even plat.

Zul je denken, wat is nou 5 minuten, maar 5 minuten keer 100 medewerkers is al 500 minuten verloren werktijd... Zo moet je het wel zien.

Komt nog bij dat als je als externe systeembeheerder veelal moeilijk 's avonds langer kunt blijven om servers e.d. te updaten omdat de deur om een bepaald tijdstip sluit... Je heb geen sleutel want je bent extern en komt maar eens in de zoveel tijd...

Bij Linux ken ik eigenlijk alleen de kernel update waarvoor het systeem echt plat moet. Heel veel patches zijn daarbij te installeren zonder complete reboot. Gewoon simpelweg een paar services stoppen en dan naderhand weer starten is voldoende. Waarom Microsoft dat niet kan begrijp ik niet...
Dus bij het bedrijf waar jij werkt werkt men 24/7 achter de werkstations? Je kan die patch toch 's avond toepassen? En als je dan niet werkt is het misschien is tijd om te regelen dat je 2 uur later begint en dan 2 uur later weggaat. Bovendien kan je met de juiste software een patch per afdeling toepassen oid, en met de juiste software kan je er ook voor zorgen dat er binnen 5-10 minuten er weer een versie image op een systeem staat als het mis gaat.

Persoonlijk heb ik liever een 10 minuten downtime dan een kans op infectie waarbij systemen na 60 seconden worden afgesloten.

Bij de meeste patches hoef je ook niet opnieuw op te starten, maar bijv. enkel een service te restarten kwestie van even kijken wat een installer allemaal uithaalt.

Overigens is imo het updaten van software onder Linux net zo'n 'ramp' als onder Windows: je zult tijd nodig hebben om de patch toe te passen. Ik heb trouwens een Linux (kassa-)systeem in 5 minuten via het netwerk zien booten, en dit is ook mogelijk met Windows. Kwestie van de juiste software zoals ik al zei dus ik zie het probleem niet (ik snap dus überhaupt niet dat je elk systeem apart wilt gaan updaten).
Of je installeert op 1 van je servers sofware update services (gratis tooltje van microsoft). Zie SUS

Met deze tool kun je heel makkelijk alle update verspreiden over je netwerk. Het tooltje is al enige tijd beschikbaar en wordt duidelijk besproken in sommige MCSE boeken (vooral de security boeken). Maakt het beheren en installeren van patches ontzettend makkelijk en controleerbaar. Scheelt je in dit bijzondere geval redelijk wat werk.
Een systeembeheerder zal liever niet domweg elke patch erop draaien. Zelfs met deze patch zijn er problemen met RAS op NT4 geweest.
Een patch zal eerst getest worden.
Waar mensen IMHO veel te gemakkelijk mee zijn is machines aan het Internet hangen zonder een goede firewall en een fatsoenlijke DMZ.
Zoals ik net al aangaf: ik heb liever 'wat problemen met RAS' dan een server die zichzelf gaat afsluiten....
ook als die 'wat problemen met RAS' betekent dat 200 buitendienst medewerkers niet meer in kunnen bellen en dus niks meer verkopen?
Een goed systeem kan die orders opsparen en ze in een keer overzetten naar de server (via netwerk/diskette/cd etc). Het is niet voor niks dat banken dit systeem ook gebruiken.
Leuk dat het commentaar komt van ZoneLabs wat recentelijk eerst bij hoog en bij laag ontkende dat hun Zone Alarm een ernstige bug had en achteraf moest bekennen dat het toch wel zo was.
Niet al te serieus nemen die man, meneer Freund heeft er alle belang bij dat het plaatje dat Windows erg onveilig is blijft bestaan. Hij zit zelf in de security business, en het zou ongunstig voor zijn bedrijfstak zijn als naar buiten zou komen dat Windows over het algemeen gewoon veilig is.
Dr moet gewoon tijdens Windows Setup op een simpele manier de Firewall worden geconfigureerd.
Zodat iedere n00b een naar zijn / haar wens ingestelde Firewall aan boord heeft.
De helft van de firewall gebruikers (niet alleen de standaard XP/2003 firewall) heeft hem geactiveerd, maar weet niet wat er nou eigenlijk wel en niet toegestaan wordt door dat progsel.

(Sorry voor deze niet lopende eerste zin, kon het niet anders formuleren)
Zover ik weet blokt de WinXP firewall de RPC poort niet. MS vind deze service zo belangrijk dat ze je zelfs dwingen Windows snel te rebooten, terwijl thuisgebruikers deze service totaal niet gebruiken.
Hij blokt deze poorten wel. Teminste bij een poortscan vanaf mijn server naar mijn eigen machine was stonden alle poorten dicht.
de RPC server is zeker niet onbelangrijk.

een jaar ofzo geleden is ie bij mij ook wel is gecrash (nou ik vond hem gewoon eventjes niet nodig eigenlijk :Y)) en daarna kon ik zeer weinig meer met windows.
Ongeveer alle ms progs zijn er mee opgehouden, IE werkt wel maar js enzo deed het niet goed meer.
outlook haalde geen mail meer binnen, wmp zei dat ie te weinig geheugen had en zo nog veel meer vage fouten. Uiteindelijk maar weer gereboot en de RPC server daarna toch maar laten draaien. Killen geeft een vervelend effect.
De RPC service heb je (misschien) wel nodig, maar dat betekend nog niet dat je hem nodig hebt voor externe processen. Gewoon de poorten blokkeren dan kan de RPC service ook niet extern aangesproken worden.
Ik zou niet weten waarom iemand met "mijn" RPC (netzoals NETBIOS e.d.) zou willen praten als ik alleen maar een beetje mail en internet.

Misschien zou het handig zijn van MS om bij de installatie een extra keuze te geven: een direct aan het internet installatie (met de poorten van RPC, netbios e.d. naar het internet toe uit) en een niet aan het internet waar die meuk dan wel aan mag blijven staan. Scheelt vast een brok ellende voor de thuis gebruikers.
Dat geldt op dit moment bijvoorbeeld als voor MacOS X. Alleen het snel voorbijflitsende schermpje verteld je dat je firewall wordt aangezet en in het dagelijks gebruik zit die helemaal niet in de weg.

MS moet trouwens ook wat aan haar bereikbaarheid doen. Op dit moment is het niet mogelijk om de MS site te benaderen en de RPC patch te downloaden (oorzaak: stroomstoring in de VS?).
Microsoft vindt dat het de klant beter zal moeten beschermen tegen dit soort problemen.
Het grote gros van de beveligingsproblemen van Windows wordt veroorzaakt door het niet tijdig updaten door gebruikers. Zowel in het bedrijfsleven als bij particulieren. Die Blaster-worm pakt alleen users die de patch van een maand geleden nog niet hebben geïnstalleerd. Eigen schuld, maar MS krijgt dat weer op haar brood, dus wellicht dat ze nu wat meer het heft in eigen handen nemen om die negatieve publiciteit te voorkomen.
Sorry hoor, maar dat ligt toch ook wel aan de lakse mentaliteit van Microsoft: waarom kan die worm alle op NT-gebaseerde OS'en aanvallen?
Gewoon omdat die "developers, developers, developers" (quote Steve B.) meer dan 8 jaar "copy/paste" hebben gedaan...
De blaster-wormpatch is net een maand oud...dus 8 jaar lang een teer punt geweest in je OS

En wat betreft het tijdig updaten: als je altijd meteen de nwste. update pakt, heb je juist weer kans op andere fouten, omdat die update niet goed bleek.
Kun je een week later weer een patch voor die update downloaden...
Sorry hoor, maar dat ligt toch ook wel aan de lakse mentaliteit van Microsoft: waarom kan die worm alle op NT-gebaseerde OS'en aanvallen?
Je kunt het ook anders zeggen.

De laatste 8 jaar zijn er continue mensen bezig geweest om lekken in windows te vinden. Er is nu een lek gevonden die zo moelijk te vinden was dat ze er 8 jaar over hebben gedaan om deze te vinden.

Zo slecht was die code dus niet, en dan is cut en paste slimmer dan opnieuw schijven, scheelt weer werk.
Hiermee wil ik niet goedpraten dat Microsoft soms wel slecht werk afleverd, ik geloof alleen niet dat ze een 100 procent goed product nieer kunnen zetten.

Updaten moet je alleen doen als het nodig is. Er komen uodates van microsoft die volgens microsoft recommended zijn, maar die ik echt niet nodig heb.
Dus als een fout moeilijk te vinden is, maar wel makkelijk exploitable is het toch geen erge fout?
Elk veiligheids lek in windows kan een groot probleem worden. Ik geloof echter niet in een foutloos produkt, ongeacht welke ontwikkelaar/fabrikant/hobbieëst iets maakt.
Als MS software open source was geweest was de fout al veel sneller gevonden en was het probleem veel kleiner geweest.
Erg makkelijk gezegd, maar ik geloof hier niet in, waarom zou deze fout in een opensource product eerder gevonden zijn? Misschien meer ontwikkelaars, maar weer minder gebruikers die opzoek gaan naar lekken in een OS. Dus waarom?
Dus als een fout moeilijk te vinden is, maar wel makkelijk exploitable is het toch geen erge fout? Als MS software open source was geweest was de fout al veel sneller gevonden en was het probleem veel kleiner geweest.
Windows 2000 zit op service pack 4, dat alleen al geeft naar mijn idee toch best aardig aan dat ook al had microsoft nog jaren getest voor het publiceren van de software dan nog waren er fouten in blijven zitten.

Overigens is de patch die blaster oplost er ook alweer even.... ik weet niet welke er eerder was, maar volgens mij worden er ook regelmatig virussen geschreven voor al bekende en al te patchen exploits.

Naar mijn inziens is microsoft op de goede weg met automatiche crash reports en dergelijke informatie vergaring. En ik lees dat daar dan ook eindelijk veiligere default instellingen bijkomen (mocht tijd worden...)
Ze zullen alleen ook tegen legacy- en ontwerpproblemen aanlopen die lastig te verbeteren zijn.

ergo: Ik wil de beschuldigende vinger ook eens naar de gebruikers wijzen... met functies als automatische updates moet patchen toch niet zoveel werk meer zijn....
klopt wel, maar windows 2000 is ondertussen ook al meer dan 3 jaar de markt, alle OS'en hebben patches
het probleem blijft:
- update staat std uit: mensen installeren het niet
of
- update staat std aan: moord en brand want MS probeerd zijn monopolie te misbruiken door ons ongewilde dingen te doen downen

omdergelijke virusen te slim af te zijn, pleit ik voor de 2e keuze, desnoods moet de regering maar een onafhankelijk iets ontworpen welke moet toelaten wat automatisch mag geinstalleerd worden
Gewoon de ISP's op het moment dat die merken door b.v. bepaalde veranderingen in het dataverkeer of iets dergelijks dat een systeem aan hun netwerk besmet is met een worm of virus meteen de internet-verbinding van het betreffende systeem sluiten. Alleen 1 site bereikbaar maken waarop de gerbuiker een patch kan downloaden.

Besmette systemen zouden net zo behandeld moeten worden als mensen met een besmettelijke ziekte: quarantine. Niemand zou het recht moeten hebben een ander te besmetten.
- update staat std aan: moord en brand want MS probeerd zijn monopolie te misbruiken door ons ongewilde dingen te doen downen
Eigenlijk is de oplossing voor dit probleem heel erg simpel - maar niet leuk voor MicroSoft:

Windows-update staat altijd aan, maar verspreidt alleen welke patches er reeds aangebracht zijn en welke OS de gebruiker heeft.

Alle extra software waar een redelijk alternatief voor is mag niet meer (gratis) door MS worden meegeleverd. Hierbij valt te denken aan Internet Explorer, Outlook Express (of wat er voor in de plaats komt...), Windows Media Player en andere software waar duidelijk is dat het monopolie van Microsoft ervoor gezorgt heeft dat het marktaandeel in deze categorie zo hoog geworden is.

Voor al deze producten moet men dan een redelijke (marktconforme) prijs rekenen, maar ook de OEM's de kans gaan geven om naar alternatieven te gaan kijken. (Bijvoorbeeld Opera of Mozilla in de plaats van IE).

Op die manier heb je en (alsnog) het monopolie-probleem aangepakt (is er iemand van de EU/EC die meeleest?) en is het voor MS mogelijk om fouten in het systeem automatisch aan te pakken en dus blijere gebruikers...

Edit: Sinds wanneer is dit off-topic? - Het gaat om een mogelijk oplossing voor het probleem van ongepatchte software (besturingssystemen in dit geval...) - zonder dat de hele wereld over MS/monopolie blijft zeuren. Tenminste niet zo erg als nu...
Ik denk niet dat dit echt zal helpen. Ten eerste staat windows update ook standaard aan maar de meeste mensen zetten hem toch uit. Ze zullen het ook doen wanneer de firewall standaard aan zit. Wat je kan doen is mensen forceren de firewall te gebruiken of de optie om het uit te schakelen verbergen. Maar dan krijg je alleen maar kritiek een een rechtzaak over je heen |:(
Ik weet het niet hoor, maar de meeste mensen (lees noobs) die ik ken weten niet eens de ingebouwde firewall van Windows XP te vinden. Laat staan dat ze hem aan of uit kunnen zetten...
Ik weet het ook niet hoor, maar de meeste mensen hebben wel een neefje (lees tweaker) die ff snel de firewall uit gooit omdat deze mensen (de noobs) iets niet niet meer kunnen.. Om alleen al van het gezeur af te zijn.. ;)
precies, je hebt helemaal gelijk.
Op servers is 1 van de eerste dingen die uit gaat automatic updates en printer spooler (mits printserver :P)
Professionals en mensen die interesse tonen voor de pc willen meestal meer dan dat alles standaard met een wizzard klaargezet word.
Op een professionele server zal windowsupdate niet aanstaan, omdat je dan een grote kans heb op brakke updates (ja, een bug weg, maar ook een 25% trager systeem), of dat je moet rebooten..
Updates zullen eerst op een hotspare getest worden, als het bedrijf het echt goed wil doen..
Onthoud wel dat die 'lekken' geen 'fouten' zijn, iemand ziet daar een manier in om die dingen te misbruiken en microsoft zet dat recht. Net als een wachtwoord op een schermbeveiliging in feite :Y)
'It isn't a bug, its a feature'

Komnou. Waneer iemand dingen uit kan halen die hij niet zou mogen doen is dat een fout. Als iets te misbruiken valt op deze manier dan is er iets mis gegaan tijdens de implementatie (buffer overflows) of tijdens het ontwerp (vbscript in email).
Microsoft vindt dat het de klant beter zal moeten beschermen tegen dit soort problemen.
JA! Bedenk dat ff vóór je brakke software op de markt brengt!! Ok, brak is een beetje overdreven, Maar als ze nu hééél even wachten en vééél beter debuggen voordat ze het de markt op schoppen zullen er veeeel minder bugfixes/patches nodig zijn! Kom op he!!

*oeps* als ik ff doorgelezen had, zonder meteen zo fel te reageren, had ik gelezen dat ik niet de enige ben die er zo over denkt :D
Bij andere OS-en is dit precies hetzelfde, een OS zal NOOIT volledig bugvrij worden, Bij windows worden er veel gaten gevonden omdat windows een favoriet doelwit van virusschrijvers en crackers is. Maar ook omdat er heel veel gebruikers zijn, MS kan nog zo lang beta's uitbrengen, problemen zullen er altijd zijn.

Dan kun je best denken dat dit bij linux niet zo is, maar hoe vaak komt daar niet een kernel van uit waar weer verschrikkelijk veel bigfixes inzitten, oftewel precies hetzelfde :z
in linux zijn veel bugfixes, maar de kernel is het probleem niet met beveiliging die bugfixes zijn driver updates of crash of bugfixes. De kernel an sich is niet zo vulnerable, er moet eerst een service draaien eer je een poort kan aanvallen, ook zo bij ms. Wat me bij MS altijd zo opvalt is dat hun eigen zut brak is. Dus netbios, nu weer rpc. De tcp stack an sich is aardig ok, met dank aan bsd en bsd developers. MS zelf maakt daarentegen troep. De laatste keer dat ik een grote echte exploit tegen kwam bij linux was met samba (raar, die proberen ms na te doen) In principe kan je een linux bak zo configureren dat er zo veel in userspace draait dat niks mag dat je weinig kan al hack je een service. En ook je kernel kan je nog eens extra beveiligen waardoor er minder crashes komen door bufferoverflow zut. De kernel van MS kan je niet aanpassen.
Linux of bsd hebben ook hun gebreken, maar ik hoef onder linux echt geen firewall te draaien om te zorgen dat mijn computer niet gehackt wordt. Ik zoek gewoon veilige daemons.
Nog een fijn iets aan linux, je bakt de helft van je services niet in je kernel met dus hoger dan rootrechten. Zeker fijn dat te bedenken als je weet dat calls net programma of onderdeel specifiek zijn op kernel niveau, dus dat als je maar een kernel call kan maken je ieder programma kan aansturen dat draait.
Als de hoofd van de beveiligingsafdeling van windows al vaak genoeg zijn bezorgdheid over de veiligheid van de architectuur van windows heeft geventileerd en MS weigert een van de grond omhoog nieuwe kernel te ontwerpen zal ms software brak blijven en zal het een ramp zijn als de sources ooit op straat komen te liggen (dat is een van de argumenten van die vent, als ms sources opent wordt het een veiligheidsramp voor de wereld :))
Ik snap best dat de kernel updates bij linux minder belangrijk zijn, maar daar had ik het in dit geval niet over, sjaakduhuuhl beweert dat MS langer zou moeten doorgaan met beta-testen om er zo meer fouten uit te halen, Ik zeg alleen dat dit niet mogelijk is :)
Bij andere OS-en is dit precies hetzelfde, een OS zal NOOIT volledig bugvrij worden, Bij windows worden er veel gaten gevonden omdat windows een favoriet doelwit van virusschrijvers en crackers is. Maar ook omdat er heel veel gebruikers zijn, MS kan nog zo lang beta's uitbrengen, problemen zullen er altijd zijn.
Dat argument kennen we nou wel, maar is niet relevant, het gaat om de algemene houding van MS, zoals standaard roepen "dan had je de patch maar moeten installeren", gehaaste releases, en hoe ze waarschuwingen van hackers nnegeren totdat het publiekelijk gemaakt wordt door de hackers zelf.

Verder erger ik me al jaren aan de "alles standaard aan optie" zoals in outlook javascript enabled, wat voor de vreselijkste emailvirsussen gezeorgd heeft terwijl die optie door slechts 1% van de mensen gebruikt wordt en dus UIT had moeten staan.

Fijn om te zien dat ze eindelijk inzien dat standaard alle veilige dingen aan moeten staan en onveilige uit. Te gek voor woorden dat dat zo lang moest duren, dat kan alleen maar bij een arrogante monopolist die niet bijgestuurd kan worden door de consument.
Ok, brak is een beetje overdreven,
Hoezo is brak overdreven? Microsoft is de enige die op een SERVER-besturingssysteem SPELLETJES mee installeert.. *en daar nog patches voor uitbrengt ook nog* |:(
Daar heb ik me ook aan geergerd, MAAR: Je kunt van een Win2K machiene ook een Terminal Server maken. En als je als bedrijf adt gebruikt, kan het zijn dat je je werknemers wat ontspanning gunt.
Nah,

Nooit XBill op een linux server gespeeld?

Ik wel.
Het is te verwachten dat veel systemen echter niet wordt gepatcht, zo zegt Gregor Freund van ZoneLabs
Dit is nou een van de weinige dingen die je niet aan M$ kunt verwijten. Het maakt niet uit wat voor systeem je draait, maar je zult hem altijd moeten updaten.
Een kleine verandering die misschien zal helpen maar er blijft toch altijd een groot ( zeer groot ) aantal gebruikers die de standaard settings wijzigt.
Dat vraag ik me af.
Een van de belangrijkste argumenten van de zaak Netscape vs Microsoft was dat als men al een werkende browser heeft, Joe User over het algemeen niet de moeite neemt om nog iets anders te proberen.
Zo ook met de meeste windows installaties, zodra het werkt (zeg maar, na de eerste keer opstarten), verandert het gross van de mensen helemaal niets meer aan de instellingen, hooguit worden er bakken software op geinstalleerd, en als het ding instabiel wordt, wordt windows opnieuw geinstalleerd.
Er is maar een klein gedeelte wat meer gaat instellen, en al helemaal weinig mensen gaan met zaken zitten prutsen als het instellen van een firewall.
Ga voor de grap maar eens kijken hoeveel gebruikers van Windows 2000, die de zaak zelf geinstalleerd hebben, ongemerkt een IIS server blijken te draaien, omdat dit oorspronkelijk standaard werd geinstalleerd.
imho vrij weinig want de windows 2000 cd's die ik heb (originelen) installeeren ISS niet standaard, je moet het via het configuratiescherm -> software installeren...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True