Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 21 reacties
Bron: Computerwire, submitter: Longbeard

Het Institute of Electrical and Electronic Engineers (IEEE) is begonnen aan een standaard voor veiligere besturingssytemen, zo meldt Computerwire. De IEEE is begonnen met deze standaard, omdat de organisatie ervan overtuigd is dat de veiligheid van software beperkt wordt door het besturingssysteem. De Base Operating System Security (BOSS) werkgroep gaat zich daarom bezighouden met het ontwikkelen van een betrouwbare basis voor de beveiliging van de huidige besturingssytemen. De door de International Standards Organization (ISO) samengestelde Common Criteria, een verzameling profielen om te bepalen of een product aan bepaalde veiligheidseisen voldoet, worden als leidraad gebruikt.

De heren uit de BOSS-werkgroep behandelen onder andere punten als identificatie, authenticiteit, toegangsbeheer en cryptografie. Omdat niet ieder besturingssysteem aan dezelfde veiligheidseisen hoeft te voldoen, worden er verschillende standaarden ontworpen. BOSS hoopt voor het einde van 2004 de eerste resultaten te kunnen presenteren. Om tot een goede en complete standaard te komen, wordt overlegd met overheden, ontwikkelaars van besturingssystemen, financiële instellingen, gebruikers van meet- en regeltechniek en beheerders van kritieke onderdelen van de infrastructuur. Allemaal instellingen die deze standaard als eerste zullen gaan gebruiken:

IEEE logo"We must have as much buy-in as possible, so the standard is widely used and supported by both producers and users," Cole said in a statement.

Group vice chair Gary Stoneburner added: "It also will take advantage of the ISO Common Criteria framework as a tool, not a requirement." and that the effort helps "by moving OS security standards from government edict to community consensus."

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (21)

Een goede zaak. Ik denk dat het bij het volwassen worden van een industrietak hoort, dat er fatsoenlijke standaarden zijn, en ook evolueren met de tijd.

De IEEE is een organisatie die de juiste autoriteit, know-how en slagkracht heeft om deze standaarden te definieren. Dit hebben ze al op meerdere fronten bewezen.
Inderdaad


Maar het zal nog wel een tijd duren voor deze standaard geimplementeerd is. De standaard is in 2004 voltooid, en dan moet er nog geprogrammeerd worden. De open-source OSsen zullen dit vrij snel kunnen toevoegen/aanpassen, maar of dat met Windows en MacOS ook lukt? Ik ben bang dat het jaren gaat duren voordat marktleider Microsoft zo'n OS op de markt brengt.
Het bestaan van een standaard is nog geen garantie dat die ook gevolgd wordt. Afhankelijk van hun doelstelling en publiek kunnen ontwikkelaars van besturingssystemen er gewoon voor kiezen de IEEE-standaard te negeren; pas als klanten de implementatie ervan eisen, wordt het noodzakelijk om iets met zo'n standaard te doen. De vraag is of klanten er ooit om zullen vragen.

Dat is eigenlijk hetzelfde verhaal als met de diverse ISO standaarden, zoals de POSIX standaarden voor besturingssystemen, die slechts sporadisch in de Windows API's terug te vinden zijn.
Geen IE Geen Active X etc etc
...
Hadden ze wel wat eerder mogen doen, microsoft stikt(e) van de beveiligingslekken
...
Misschien worden dan de programma's van microsoft een stukkie beter en dan met name windows!
Wat een geflame allemaal weer zeg, alsof linux of *BSD zo veilig zijn als ze beheerd worden door een noob! Het recept voor een gehackte pubstro voor windows (install IIS, reboot, wait for 10 minutes: hey presto: your own pub!) geldt net zo goed voor nix met devel omgeving en anonymous login!

Ik denk dat het wel goed is dat men met de huidige stand van techniek en die van morgen in het hoofd gaat inventariseren waar een veilig OS heden ten dagen (en in de toekomst) aan zou moeten voldoen. Daar kan elke OS producent wat aan hebben; goed werk!
Alleen hoop ik niet dat ze die kennis alleen voor veel geld vrij gaan geven (zal wel niet).
Probleem met (de vroegere versies van) Windows is dat alles default open staat. Bij sommige linux distributies is dit ook zo, deze zijn ook onveilig. Bij FreeBSD/OpenBSD is echter alles standaard dicht. Dit levert een veiliger systeem op.

Vergelijk het met een firewall die alles doorlaat, en alleen bepaalde poorten blockt. Deze is minder veilig dan een firewall welke alle poorten blockt, en er maar een paar doorlaat.
Ik wil er geen pro/contra-Windows discussie van maken, maar volgens mij is een default Windows XP installatie met Essential Updates ook wel gewoon secure. Het gaat pas mis als je verkeerde software op een verkeerde manier installeert; net als onder UNIX-achtige systemen, eigenlijk.

Uiteraard zijn er wel problemen met de beveiliging van Windows, maar die zijn voor een belangrijk deel ook aan het ontwikkelingsmodel en de gebruikersgroep te wijten.

Overigens vallen in deze discussie veel meer bezwaren te maken over Windows 95/98/ME en veel minder over Windows NT4/2000/XP, die toch echt veel beter ontworpen zijn om in een netwerk en door verschillende gebruikers gebruikt te worden.
Ik wil er geen pro/contra-Windows discussie van maken, maar volgens mij is een default Windows XP installatie met Essential Updates ook wel gewoon secure.
Ik wil er ook geen discussie van maken, maar je wel willen adviseren om nooit te denken dat "een systeem secure is als..."

Hierbij laat ik je namelijk graag een stukje uitdraai van nmap zien, op een Windows XP bak, met ZoneAlarm in medium-mode. Het laat zien wat er allemaal open staat |:( overgens werkt de high-mode van zonealarm wel super effectief.

[code]
135/tcp filtered loc-srv
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
389/tcp open ldap
445/tcp filtered microsoft-ds
1002/tcp open unknown
1025/tcp open NFS-or-IIS
1720/tcp open H.323/Q.931
5000/tcp open UPnP
Remote operating system guess: Windows XP Professional RC1+ through final release
[/code]

deze machine staat via een ethernet kaart direct verbonden met een chello modem, en is 5x gehackt, doordat zijn IP (en verbindingssnelheid) iets te bekend werd.

zaken als "netstat -an" laten je ook goed zien wat open staan (gebruik "netstat -anpA inet" voor linux)
Uiteraard zijn er wel problemen met de beveiliging van Windows, maar die zijn voor een belangrijk deel ook aan het ontwikkelingsmodel en de gebruikersgroep te wijten.
van mij zal je hierom al een +1 erbij krijgen, maar dat mag ik helaas niet meer. Het ontwikkelingsmodel is inderdaad niet een stabiele basis geweest, maar ik denk dat mijn voorbeeld duidelijk de "gebruikersgroep" pijnlijk blootlegd; denken dat je machine veilig is. :? :+
Alleen hoop ik niet dat ze die kennis alleen voor veel geld vrij gaan geven (zal wel niet).
Nou je weet het nooit. Moet op school nu bezig met security op software vlak en daar is een hele mooie ISO standaard voor en wel ISO17799. Denk je dat is mooi, een standaard door een goeie organisatie, het punt is alleen dat je ff 1000 dollar mag neertellen als je hem wilt hebben! Mooie standaard heb je dan als die niet toegankelijk is voor iedereen...
Dit zou dus ook kunnen gebeuren met deze standaard(en).
Misschien worden dan de programma's van microsoft een stukkie beter en dan met name windows!
Opvallend dat hier alleen Microsoft/Windows wordt geroepen.... ik weet zeker dat er voor Linux ook een berg lekken bekend is.... veiligheid hangt ook voor een groot deel af van de mens/gebruiker, vergeet dat niet. Je kunt je besturingssysteem nog zo veilig maken, het helpt niets als je systeembeheerder een nitwit is...
Ja, de tweakers/ict'ers zullen dit vrijwel zeker wel van microsoft gaan eisen, maar de gemiddelde huis tuin en keuken gebruiker maakt het denk ik niet zo heel veel uit.

Deze personen zullen iets denken van "O, jammer dat het niet zo veilig is, maarja, niets aan te doen, lekker verder werken".
correctie;
Die personen zullen helemaal niks denken omdat het niet eens in hen opkomt dat een besturingssysteem 'onveilig' kan zijn.

(hoezo? kan ie ontploffen dan? Neem iemand anders in de maling!)
Ik snap 't denk ik niet helemaal, ook al ontwikkelt een of andere softwarehuis een OS volledig conform de IEEE standaarden, er kunnen nog steeds bugs in de software zitten wat het OS in een keer weer onveilig maakt :?
Ja, maar dat stond ook al bovenaan het artikel (incl. link):
Door Matthijs Abma - vrijdag 12 september 2003 - 16:19 - Bron: Computerwire - Submitter: Longbeard
Geen IE Geen Active X etc etc :P
Hadden ze wel wat eerder mogen doen, microsoft stikt(e) van de beveiligingslekken :P

maar toch wel een vooruitgang, want je word niet vrolijk van al die beveiligings lekken en virussen die daarvia binnen komen, etc etc.
Als microsoft zich net zo goed aan deze afspraken houd als de afspraken van het W3C dan krijgen we nog heel wat voor onze kiezen :Y)
Kansloze actie van IEEE. Om een veilig OS te krijgen dient de gebruiker daar aan mee te werken. Dat doen ze nooit, dus dit is een kansloos initiatief.

(hoeveel users loggen standaard in een pc als root/administrator om een brieffie te tikken? Meer dan genoeg. Zolang dat het geval is, kun je een veilig OS wel vergeten.

Hoort in de trant "Veilig zonder netwerkaansluiting" dit bericht.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True