Windows-feature mogelijk doelwit van nieuwe virusgeneratie

Antivirusdeskundigen maken zich zorgen over een feature die gepland staat voor Windows Longhorn, zo meldt InfoWorld. Het draait om een nieuwe module, een scriptingplatform met de naam Microsoft Shell. De experts zijn bang dat de implementatie van dit stuk software de aanleiding vormt tot het ontstaan van een nieuwe generatie van virussen en op afstand exploiteerbare aanvallen. Microsoft Shell, dat bedoeld is om in de toekomstige Windows-versie Longhorn te worden opgenomen, bevindt zich nog in de ontwikkelingsfase en draagt zo lang de codenaam 'Monad'. De module geeft ontwikkelaars of beheerders de mogelijkheid om Windows-systemen te configureren door het gebruik van tekstcommando's of scripts die meerdere commando's tegelijk bevatten.

Windows Longhorn logo De functionaliteit is enigszins vergelijkbaar met die van het huidige cmd.exe, maar is uitgebreider. In het huidige ontwerp van Monad kunnen beheerders ook commando's gebruiken om draaiende processen weer te geven en af te sluiten, e-mails te sturen of de inhoud van gedeelde netwerkschijven weer te geven. Dit klinkt veel mensen waarschijnlijk prettig in de oren, maar deze flexibiliteit en de ondersteuning voor het op afstand uitvoeren van opdrachten zou een compleet nieuwe generatie van 'scriptvirussen' in het leven kunnen roepen, zo waarschuwt Eric Chien, onderzoeker van Symantec. Hij denkt daarbij bijvoorbeeld aan het Melissavirus uit 1999, e-mailwormen en aanvallen van afstand.

Chien sprak op de Virus Bulletin 2004 International Conference zijn waarschuwing uit tegen antivirusonderzoekers en andere virusdeskundigen. Zoals Visual Basic virussen als Melissa voortbracht, zo zal Monad zeer aantrekkelijk worden voor virusschrijvers, omdat ze daarmee in enkele regels code een hele serie opdrachten uit kunnen voeren. Zo zijn er eenvoudig kleine, efficiënte programma's te maken met een enorme slagkracht, aldus Chien. Microsoft beweert dat het nieuwe Windows-component nog in een vroeg stadium van ontwikkeling zit en dat de features nog niet allemaal vastgesteld zijn. Monad zal kwaadwillenden uiteindelijk geen enkele kans geven om de beveiligingen te omzeilen wanneer het eenmaal gelanceerd wordt, zo reageerde Greg Sullivan, productmanager bij Microsoft.

Reacties (89)

^Mo^ 6 oktober 2004 20:47

It's not a bug; It's a feature!

Linux heeft toch ook scripts? Daar ziet men geen gevaar, het hangt er een beetje van af hoe het geimplementeerd wordt, Microsoft ontwikkeld steeds meer met ook security in het achterhoofd

SuperNull @^Mo^ • 6 oktober 2004 21:17

Linux heeft toch ook scripts?

Sterker nog, Linux draait om scripts!
De veelzijdige, (bijna) alles kunnende commandline en de 'scriptebility' zijn een van de sterke kanten van Linux.

Dat MS dat wil overnemen is niet zo vreemd. Het zou imho echt wel wat aan Windows toevogen. Maarja, het is de vraag hoe handig de MS implementatie presies wordt.

(Dit is geen MS vs Linux flame! Ik heb gewoon mijn twijfels over hoe goed advanced-command-line/scripts samen gaan met de GUI georienteerde aanpak van MS.)

Even voor de Linux noobs;
Je kan echt bijna alles over de commandline met Linux.
IRC, MSN, ICQ, e-mail, programmeren, web-hosting, installeren van programma's, tekstverwerking, file management, muziek/video-playback, alles!
Websurfen en beeldbewerken (a la 3D design/Photoshop) wil je uiteraard via de GUI doen, maar dat spreekt vanzelf.

Verwijderd @SuperNull • 6 oktober 2004 23:55

Websurfen en beeldbewerken (a la 3D design/Photoshop) wil je uiteraard via de GUI doen, maar dat spreekt vanzelf.

Eeh, websurfen kan prima vanaf de commandline met "lynx" of "links". Ik gebruik dat zelfs wel eens als ik een bak installeer, en er is nog geen werkende X-omgeving, en ik wil even iets googlen of een online manual lezen.

En verder heb je natuurlijk het simpel-maar-doeltreffende "wget" als je alleen maar ff een file wil binnehalen (of een hele site naar je schijf wil copieren). Dat mis ik onder Windows wel eens.

Plaatjes bewerken doe ik zelfs heel regelmatig vanaf de commandline. Als ik een plaatje wil resizen naar 300x400 ga ik echt niet eerst The Gimp opstarten. Bijkkomend voordeel: via de commandline werkt 't ook als je via ssh bent ingelogd (bijv. op een webserver). Of als ik bijvoorbeeld een hele directory in 1 x wil converteren van gif naar png. Dat kan allemaal met Imagemagick. In combinatie met een (perl, python, shell of php) script wat bijvoorbeeld een fotoarchief voor op een webserver genereert kun je helemaal mooie dingen doen (thumbnails aanmaken etc.)

DJ Henk @Verwijderd • 7 oktober 2004 01:15

En verder heb je natuurlijk het simpel-maar-doeltreffende "wget" als je alleen maar ff een file wil binnehalen (of een hele site naar je schijf wil copieren). Dat mis ik onder Windows wel eens.

Hatsikidee: http://www.interlog.com/~tcharron/wgetwin.html

Parlor_Inventor @Verwijderd • 7 oktober 2004 08:27

Neem dan v1.9.1, die is vijf jaar jonger: http://allserv.ugent.be/~bpuype/wget/

(wget.exe is één van de tools die ik direct na een Windows installatie in C:\WINDOWS zet)

Bas! @SuperNull • 7 oktober 2004 11:58

Hmm ik browse met plaatjes in w3m, aangezien ik meestal browse op de locale bak en daar altijd wel een framebuffer device draait.

Verwijderd @Verwijderd • 6 oktober 2004 21:56

Ik had hier ergens een post gelezen (in het kassa nieuwsbericht) van iemand die het een slecht idee vond om linux op kassa's te zetten omdat het ongebruikersvriendelijk zou zijn... Die heeft niet begrepen dat linux een OS is en je er zelf een frontend overheen mag maken

Verwijderd @^Mo^ • 6 oktober 2004 21:38

True, maar onder Linux kun je niet zomaar iets draaien met root rechten. Tot nu toe was het in elke Windows versie zo dat elk programma zomaar alles kon doen met Administrator-rechten (zo zit het onderliggende Windows systeem nu eenmaal in elkaar). Aangezien Longhorn gewoon een doorontwikkeling van XP is voorzie ik problemen qua security.

Het probleem is namelijk dat allerlei slecht geschreven software ervan uit gaat dat ze Administrator rechten hebben. DLL's en andere meuk worden zomaar in de system32 directory geplempt. Dus als MS iets aan security wil doen (of een andere laag dan een firewall implementeren) offeren ze een heleboel backwards compatibility op, waarbij de compatibilityproblemen van XP SP2 niets zijn.

Als ze dat doen is voor veel mensen de enige reden om Windows te draaien weg, of zal de overstap naar een ander OS minder problematisch zijn, "want met die nieuwe Windows kun je ook alles lang niet draaien", en ik denk niet dat MS daar op zit te wachten.

tweakerbee @Verwijderd • 6 oktober 2004 22:29

De oplossing is die scripts niet met admin rechten te laten lopen (alleen als je op de shell inlogt met admin rechten).

Nu is dat laaste het probleem. Toch maar weer iedereen een computerrijbewijs?

Verwijderd @tweakerbee • 7 oktober 2004 09:29

De oplossing is die scripts niet met admin rechten te laten lopen (alleen als je op de shell inlogt met admin rechten).

Dat klopt, maar dat is dus zo goed als onmogelijk door de manier waarop Windows in elkaar zit. Dan heb ik het nog niet eens over onjuist geschreven software.

Verwijderd @tweakerbee • 7 oktober 2004 12:20

Onzin. Niets in Windows wat dat tegenhoud.

Dat iedereen de gewoonte heeft als admin in te loggen, wil niet zeggen dat het nodig is.

exyll @tweakerbee • 7 oktober 2004 12:25

Damn.. ik log altijd in als normale user en start middels runas via een script direct een admin console op. Even wachtwoord in type en ik kan bijna alles launchen met administrator rechten (mits nodig).

Werkt perfect!

curry684 @Verwijderd • 7 oktober 2004 02:10

True, maar onder Linux kun je niet zomaar iets draaien met root rechten. Tot nu toe was het in elke Windows versie zo dat elk programma zomaar alles kon doen met Administrator-rechten (zo zit het onderliggende Windows systeem nu eenmaal in elkaar).

Het onderliggende systeem van Linux is exact hetzelfde. Idiot @ keyboard = lek OS. Afgezien van de klassieke PEBKAC (Problem Exists Between Keyboard And Chair) en PECI (Product Exceeds Customer Intelligence) problemen is Windows net zo veilig, zo niet veiliger dan Linux: Active Directory is een tig keer beter securitysysteem voor domains dan wat Linux ertegenover op de mat legt. Beetje jammer dat er hier op de frontpage altijd weer mensen moeten claimen dat een probleem in Windows zit terwijl ze er de ballen verstand van hebben.

Fyi: Windows NT is ontworpen door de voormalige chief-architect van VMS, een systeem dat simultaan met Unix groot is geworden en voornamelijk bekend staat om security en stabiliteit.

Verwijderd @curry684 • 7 oktober 2004 09:33

Het onderliggende systeem van Linux is exact hetzelfde.

Onwaar. Linux zit qua kernel en manier waarop het andere programma's of system calls aanroept toch effe heel anders in elkaar dan Windows.

Idiot @ keyboard = lek OS. Afgezien van de klassieke PEBKAC (Problem Exists Between Keyboard And Chair) en PECI (Product Exceeds Customer Intelligence) problemen is Windows net zo veilig, zo niet veiliger dan Linux

roffeldeboffel, dit meen je toch niet serieus ? Tot 2 weken geleden was elk JPG-tje op internet een potentiele virusbron (en als mensen geen Windows Update draaien nog steeds), en dan beweer jij dat Windows veiliger is ?

Active Directory is een tig keer beter securitysysteem voor domains dan wat Linux ertegenover op de mat legt.

Oh ja ? eDirectory van Novell veegt toch echt de vloer aan met AD, en neit alleen qua security, maar ook qua performance en features. OK, het is geen opensource, maar dat is AD ook niet.

Beetje jammer dat er hier op de frontpage altijd weer mensen moeten claimen dat een probleem in Windows zit terwijl ze er de ballen verstand van hebben.

Pot -> ketel. NOFI.

Verwijderd @curry684 • 7 oktober 2004 08:19

In defense van Arfman en in aanvulling op curry: een toch ook wel heel belangrijke factor is alle slechtgeschreven software die er vanuitgaat dat ze de Windows directory mogen gebruiken voor hun meuk, dat ze Administrator rechten hebben en op nog tal van andere punten de Microsoft guidelines voor software design naast zich neerleggen. Zelfs WinAmp 5 draait niet zonder Admin rechten (media library niet toegankelijk). Niet dat ik WinAmp hier wil presenteren als toonbeeld van net design, maar ik wil slechts aangeven dat het niet alleen wazige programmaatjes van vage softwarefabrieken zijn die zich niet aan de regels houden.

Overigens zie ik zelf het probleem niet zo. WSH/Monad lijkt me iets dat in het kader van secure defaults standaard uitstaat. De n00b gebruikers zullen dit ook nooit aanzetten, omdat die al bang worden van de CMD shell. En aangezien ik ook nog geen virussen gezien heb die gebruikmaken van de wat krachtigere CMD mogelijkheden, denk ik dat het wel mee zal vallen. Tuurlijk, er komen vast malicious scripts. Maar dat zijn eigenlijk geen virussen. Dat zijn trojans. En de enige reden waarom trojan scripts werken is zoals curry al zegt PEBKAC/PECI.

Verwijderd @curry684 • 7 oktober 2004 16:10

En wat heeft de structuur van de kernel in godesnaam van doen met of je wel of niet als root of Administrator alles op de computer kunt vernueken, en dat een programma gelanceerd onder die account per definitie de rechten van dat account heeft?

Niets met de structuur van de kernel, maar meer hoe de kernel de system calls aanroept. Onder Linux mag een programma standaard slechts met zeer beperkte privileges iets doen, onder Windows mag een programma een system call aanroepen als Administrator, ook al ben je zelf slechts een Guest gebruiker.

Wat heeft een enkele exploit van doen met structurele security van het OS? Last time I checked was de lijst van exploits en known bugs van Linux groter dan die van Windows, het haalt alleen niet de voorpagina van de kranten als SSH een fundamenteel lek heeft dat root-toegang kan verschaffen (is gebeurd).

Een enkele exploit ? Oh god, je gaat me toch niet vertellen dat je serieus denkt dat Windows veiliger is ? Ja, er zijn veel exploits voor Linux, maar doro de manier waarop de kernel in elkaar steekt (zie hierboven) is dat niet meteen een ramp, slechts in een uitzonderingsgeval. Bij Windows is dat schering en inslag.

AD zit echter wel native ingebakken in het OS, en verschaft daarmee security op het laagst mogelijke niveau.

Een niveau wat standaard al onveilig is door de manier waarop het geprogrammeerd is, ja.

Iets wat eDirectory absoluut niet kan, wat het een duurder en minder capabel alternatief maakt, oftewel mijn statement dat er onder Linux niets is wat tegen AD op kan blijft staan.

Geen enkel programma draait onder Linux in de kernel. Dus Apache performt ook minder "omdat het niet op de OS laag zit" ?
En over kosten gesproken: ik denk, nee, weet wel zeker, dat de ROI bij eDirectory vele malen hoger/beter is dan bij AD. Aanschafprijs is slechts 15% van de totale beheerskosten.

curry684 @curry684 • 7 oktober 2004 13:57

Onwaar. Linux zit qua kernel en manier waarop het andere programma's of system calls aanroept toch effe heel anders in elkaar dan Windows.

En wat heeft de structuur van de kernel in godesnaam van doen met of je wel of niet als root of Administrator alles op de computer kunt vernueken, en dat een programma gelanceerd onder die account per definitie de rechten van dat account heeft?

roffeldeboffel, dit meen je toch niet serieus ? Tot 2 weken geleden was elk JPG-tje op internet een potentiele virusbron (en als mensen geen Windows Update draaien nog steeds), en dan beweer jij dat Windows veiliger is ?

Wat heeft een enkele exploit van doen met structurele security van het OS? Last time I checked was de lijst van exploits en known bugs van Linux groter dan die van Windows, het haalt alleen niet de voorpagina van de kranten als SSH een fundamenteel lek heeft dat root-toegang kan verschaffen (is gebeurd).

Oh ja ? eDirectory van Novell veegt toch echt de vloer aan met AD, en neit alleen qua security, maar ook qua performance en features. OK, het is geen opensource, maar dat is AD ook niet.

AD zit echter wel native ingebakken in het OS, en verschaft daarmee security op het laagst mogelijke niveau. Iets wat eDirectory absoluut niet kan, wat het een duurder en minder capabel alternatief maakt, oftewel mijn statement dat er onder Linux niets is wat tegen AD op kan blijft staan.

NiGHtrAidEr @Verwijderd • 7 oktober 2004 09:20

inderdaad, daarin zit em ook het verschil tussen windows en linux: de thuisgebruikers...

thuisgebruikers willen alles op hun pc kunnen doen (vb: ik moet toch de systeemtijd aan kunnen passen ? ik moet toch een programma kunnen installeren ?)

linux gebruikers (moeten) weten wat ze doen en veel windows thuisgebruikers niet, vandaar dat windows standaard start met admin rights voor thuisgebruikers.

barco @NiGHtrAidEr • 7 oktober 2004 22:55

linux gebruikers (moeten) weten wat ze doen en veel windows thuisgebruikers niet, vandaar dat windows standaard start met admin rights voor thuisgebruikers.

Dat lijkt mij nu precies de reden om mensen niet standaard admin rechten te geven. Maarja zelfs msn messenger gaat moeilijk doen zonder admin rechten, dus is de hele familie admin.

Verwijderd @^Mo^ • 6 oktober 2004 21:38

Linux draait natuurlijk ook veel op scripts. Maar persoonlijk denk ik dat het probleem waar de antivirusdeskundigen als volgt zien:

De pc wordt gebruikt door een gebruiker met administrator rechten. Scripts hebben dan dus vrije gang met adminrechten. Op dat gebied kan microsoft nog veel leren van andere besturingssystemen, maar dat zullen ze hoogstwaarschijnlijk ook aan werken dan

tweakerbee @Verwijderd • 6 oktober 2004 22:31

Nee, het probleem is dat linux-users meer van security afweten dan de meeste windows-users. Dat is de reden dan linux minder vulnerable is. Op een windows machine kun je ook prima met een "user" account werken (ipv admin account) en dan ben je ook opeens een HEEL stuk minder vatbaar voor virussen, spy/adware en andere ellende. In combinatie met een simpele firewall ben je er dan al (niet eens een anti-virus pakket nodig).

Sfynx @tweakerbee • 6 oktober 2004 23:12

Maar dan kan Jan de Buurman geen Bonzibuddy meer installeren, want "dat is zo'n schattig beestje"... ja echt, ik ken figuren die dat willen installeren

Het probleem is dus dat de computern00bs wel zelf allemaal dingen willen kunnen installeren, anders gaan ze daar weer over zeiken. Dat soort mensen aan hun verstand brengen dat ze standaard onder een normaal user account moeten werken en alleen Administrator gebruiken om iets te installeren en geen bonzibuddy/gator/etc. is vaak een onmogelijke opgave.

Mijn zus heeft al eventjes een laptop, welke ik opgetuigd heb met Windows XP met normaal en admin account, en zij begrijpt het gelukkig aardig... dat ding is nog in orde qua mal-/spyware.

Verwijderd @tweakerbee • 6 oktober 2004 23:19

Ik heb geprobeerd de computer van m'n pa en ma in te stellen met normale gebruikersaccounts. M'n pa wil een spelletje spelen... Hij kan niets opslaan. M'n pa wil wat klooien met z'n datakabel en z'n mobieltje... Programma heeft root rechten nodig.

En zo voorts. Het is onder Windows niet simpel om alleen met gebruikersrechten te werken, simpelweg omdat nog niet alle programma's er klaar voor zijn. Als dat wel zo was geweest, dan had microsoft dit heus wel ingebouwd in SP2.

basset @tweakerbee • 7 oktober 2004 09:19

Volgens mij is Linux minder "vulnarable" omdat voor Linux virusjes schrijven lang niet zoveel effect heeft als voor Windows. Je hebt het hier over een behoorlijk verschil in gebruikers. Net als met MacOS.

Op het moment dat men echt gaat zoeken is elk OS zo lek als een mandje

NiteSpeed @^Mo^ • 6 oktober 2004 20:49

De eerste post, en niet eens anti-Microsoft. Sterker nog, je verdedigt Microsoft.

Ik word opeens helemaal warm van binnen. Want het is waar dat Microsoft de laatste tijd sterk aan zijn security werkt. Hell, ze geven prioriteit aan veiligere Windows XP's dan de lancering van Longhorn.

Verwijderd @NiteSpeed • 6 oktober 2004 21:17

Het is gewoon diep triest dat ze pas het laatste jaar iets aan beveiliging doen na alle jaren van virussen en wormen die het platform bedreigen. En zelf hebben ze er ook niet zo'n goed gevoel over want Balmer vertelt doodleuk dat ze nog wel tot zijn pensioen met security bezig zullen zullen zijn.

Het is gewoon lastig om een zwitserse kaas die niet bedoeld is om secure te zijn, secure proberen te maken.

Duingras

@Verwijderd • 7 oktober 2004 01:39

Reactie op spoonman: een paar km naar het westen en je hebt brie. Dat is toch redelijk ondoodringbaar

Soms ligt de oplossing dichterbij dan je denkt.

Maar ff serieus: soms is het slimmer opnieuw te beginnen dan door te blijven modderen met iets dat inherent niet goed in elkaar zit. Iets nieuws maken from scratch, dat doet Microsoft dan ook met Longhorn, heb ik het idee, en daarvoor lof! Dat het ff duurt en dat ze nu WinXP moeten blijven patchen, daar is ff niets aan te doen.

spoonman @Verwijderd • 6 oktober 2004 21:21

Als je tot dat inzicht kan komen, zal je ook wel beseffen dat je niet zomaar die zwitserse kaas uit de deur kan gooien en even een nieuwe maken.

Abom @Verwijderd • 6 oktober 2004 23:12

De nadruk op security leggen (wat MS doet) is iets anders dan uberhaupt iets aan security doen...

Elk software bedrijf zal tot hun dood bezig zijn met security issues, denk je echt dat er ooit software ontwikkeld zal worden zonder fouten/security issues?

Zwitserse kaas, net zoals die linux bakken die 300+ dagen draaien zeker?

Verwijderd @Verwijderd • 7 oktober 2004 09:21

Ach.. Misschien is het ook maar beter naar de toekomst te kijken dan iedere keer een verhaal te vertellen van: "Maar vroeger was Windows....."

MS is goed bezig om hun zaken rondomtrent security goed op orde te krijgen. Alleen gaan sommige dingen nu eenmaal wat sneller dan andere. De awareness van de experts en het wat meer open karakter dat MS aan de dag legt zorgen ervoor dat dit eindelijk voor een productrelease over gediscussieerd kan worden.

Achteraf praten is nu eenmaal eenvoudiger.

EDIT: typo

Verwijderd @Verwijderd • 7 oktober 2004 10:54

@Abom:

Als er een update is voor zeg maar ssh, hoef ik het systeem niet te rebooten hoor!!
Het is wat anders als ik een kernel moet vervangen, dat doe je ook alleen maar wanneer dit echt nodig is.
Er kunnen wel 100.000 updates uitgegeven worden voor Linux, als ik deze updates NIET hoef te installeren omdat ik die programma's of services niet gebruik, lijkt het mij onnodig om deze te gaan installeren.
En ja, dan kan ik makkelijk aan 300+ dagen komen, heeft niks te maken met veiligheid in tegenstelling tot de Windows produkten, waarbij je mogelijk voor iedere scheet je systeem moet rebooten, omdat anders de update niet werkt.
Microsoft wil toch zekers ook zelf uitgeklede (op maat gemaakte) versies van Windows maken, hetzelfde principe.

Loop niet zomaar wat te brallen, is heel gemakkelijk gedaan!!

Abom @Verwijderd • 8 oktober 2004 16:30

@Dorpsgek

Over brallen gesproken...Je praat alsof je jaren niet met Windows gewerkt hebt. Vroeger was het inderdaad nodig om zelfs bij het wijzigen van je IP adres, je machine opnieuw te starten. Net zoals bij Linux, is het tegenwoordig ook genoeg om je services opnieuw te starten na de installatie van een patch voor de betreffende service.
Dat jij niet beter weet, is niet het probleem van MS.
Wist je trouwens dat je de onnodige services uit kunt zetten in Windows, al vanaf NT4 en waarschijnlijk wel eerder? En news-flash, sinds Windows 2003 staat er maar een minimum aan services standaard aan.
300 dagen zonder gevonden issues in de kernel? stoer :}

Nogal snel op je teentjes getrapt, ik ben geen Linux hater hoor. Ik sta er alleen altijd van te kijken welke argumenten Linux-fans gebruiken om Microsoft af te kraken terwijl ze eigenlijk helemaal niets weten van het professioneel gebruik van Windows.

GeniusDex @NiteSpeed • 6 oktober 2004 20:58

Ook al hadden ze daar beter 10 jaar eerder mee kunnen beginnen, nu loopt nog een groot deel van de mensen rond met een lekke oude windows versie die niet meer ondersteund wordt....

procede @GeniusDex • 6 oktober 2004 21:03

10 jaar geleden was er nog nauwelijks sprake van internet. Windows zat nog bij 3.11, die moest je nog zelf opstarten.

Jack Flushell

@GeniusDex • 6 oktober 2004 23:45

in autoexec.bat kon/kan je prima het commando

win

kwijt hoor

Ruuddie @^Mo^ • 7 oktober 2004 07:07

Ookal zou Microsoft deze console hetzelfde integreren als hoe dat is gebeurd bij Linux, dan nog zal het gevaarlijker zijn in Windows. Dit omdat er gewoon veel meer op Windows zelf ingebashed wordt om te kijken of hij te kraken is, terwijl dit bij Linux niet gebeurt.

Q-collective

@Ruuddie • 7 oktober 2004 08:46

Dit is simpelweg een ongeldig argument.
Voorbeeld: Het open source programma Apache heeft een marktaandeel van om en de nabij 65%, IIS heeft dan ongeveer 30% en nog 5% voor andere servers.
Hoeveel security leaks zijn er voor Apache gevonden het afgelopen jaar en, belangrijker, hoe vlug zijn die weer opgelost?
Leg die cijfers naast IIS en ga dan pas blaten aub.

Conclusie: Als Linux een marktaandeel zou hebben van 35%, zou er echt geen 'explosie' aan nieuwe virussen etc ontstaan

PS: Ik zeg niet dat Linux (of andere opensource) software perfect zijn oid, maar het is wel feit dat deze vaak inherent veel beter in elkaar gezet is en dat security patches er voor veel sneller uitgebracht worden.

Verwijderd @Q-collective • 7 oktober 2004 09:38

Dan is er een goed punt aangesneden namelijk: Fyi: Windows NT is ontworpen door de voormalige chief-architect van VMS, een systeem dat simultaan met Unix groot is geworden en voornamelijk bekend staat om security en stabiliteit.
Maar daar hoor je dan weer niemand over.

Dat klopt, omdat het geen hout snijdt. Dat iets ontworpen is door een bepaald persoon zegt namelijk niet zoveel. Want Windows 2000 is een doorontwikkeling van NT, XP van 2K en we weten inmiddels allemaal hoe lek XP en 2K zijn.

Q-collective

@Q-collective • 7 oktober 2004 14:41

@ Prutser

inderdaad, goed gezegd Q-Collective, het gaat over Windows en Linux, we hebben het niet over WebServers......

Jij hebt het stukje waar ik zei dat het een voorbeeld was gemist zeker?

IMO doet *Nix dat precies andersom...

Suse, Fedora en Mandrake draaien tegenwoordig veel out of the box hoor, geen/weinig issues mee.
En die ontwikkeling zet zich natuurlijk door

@rbs
Ik heb niet het vermoeden dat Apache beter is, ik weet dat. En 65% van alle webservers op deze planeet die het met me eens is.

WAS zul je bedoelen. De security van winXPsp2 is echt niet te vergelijken met zijn voorganger winNT

Enkele dagen nadat SP2 uit was gekomen was er al weer een exploit, nog steeds zo lek als een mandje dus.

Wat ik me dan afvraag is waarom jij die cijfers niet ff neerlegt dan en dan pas post.

Dat is een knap (en ook extreem oud en nogal lame) staaltje van de bal terugkaatsen, nogal flamerig hoor.
Nog voorbeelden of normale argumenten die je hebt?

Verwijderd @Q-collective • 7 oktober 2004 12:53

@Arfman:

Dat iets ontworpen is door een bepaald persoon zegt namelijk niet zoveel.

Dat zegt wel degelijk wat, en zelfs heel veel. Die persoon neemt zijn ervaring als architect mee, wat enorm belangrijk is voor zijn volgende architectuur, die eventueel zelfs nog beter wordt.

Want Windows 2000 is een doorontwikkeling van NT, XP van 2K en we weten inmiddels allemaal hoe lek XP en 2K zijn.

WAS zul je bedoelen. De security van winXPsp2 is echt niet te vergelijken met zijn voorganger winNT

erkje @^Mo^ • 6 oktober 2004 21:18

Inderdaad, als je remote op linux inlogt, doe je dat ook met SSH, secure socket host. Reuze veilig. Microsoft kan dat gerust ook wel opzetten (maar waarschijnlijjk hun eigen 'ssh')

lvh @erkje • 6 oktober 2004 21:44

SSH staat toch echt wel voor Secure SHell hoor ;-)
(voorbeeldje: http://www-user.tu-chemnitz.de/~hot/ssh/)

SSH v2 gebruikt een aantal symmetrische algoritmes, zoals:
128 bit AES, Blowfish, 3DES, CAST128, Arcfour, 192 bit AES en 256 bit AES. Iedere host heeft een RSA en een DSA key -- hoe dat precies werkt is al vrij geavanceerde cryptographie. (wie een inleiding wilt kan die krijgen op wikipedia: bijvoorbeeld http://en.wikipedia.org/wiki/RSA)
SSH v2 blijkt tot nu toe (tenminste, met de middelen die we nu hebben, met een quantumcomputer is er een hypothese dat men dit soort keys kan kraken) vrij veilig is. Het zijn dezelfde algoritmes als PGP :-)

Bronnen:
http://www.windowsecurity.com/articles/SSH.html
http://en.wikipedia.org/wiki/RSA
http://www-user.tu-chemnitz.de/~hot/ssh

Cartman!

@erkje • 7 oktober 2004 01:12

Je bent in de war met Secure Socket Layer aka. SSL. Wat SSH betekend is al uitstekend beschreven door R4COON_SL4Y3R

bstard @erkje • 7 oktober 2004 12:57

Helaas is ssh een voorbeeld van een component van de doorsnee linux-distro dat absoluut niet veilig is ... alleen als je steeds de allernieuwste patches installed zit je redelijk save, voor de rest zwermen de expliots het internet over.

zeikstraal 6 oktober 2004 21:17

Wel opvallend dat microsoft denkt dat er vraag is naar een krachtigere shell. Dit is denk ik toch een teken dat ze zich bedreigd voelen door Linux, dat die functie al heeft.
Zal mij benieuwen of ze met een besturingssysteem met alleen maar een shell komen en geen grafische omgeving voor servertdoeleinden.

alt-92 @zeikstraal • 6 oktober 2004 23:18

Dat weten ze al veel langer; bij de introductie van Windows 2003 Server is er juist aandacht besteed aan commandline utilities als vervanging/aanvulling op GUI tools.

Dit omdat er zoveel vraag naar was onder beheerders (die de reclameslogan nu dus ook echt letterlijk kunnen nemen: "do more with less"

)

GeniusDex @zeikstraal • 6 oktober 2004 21:20

Ben bang dat ze dan half windows weg kunnen gooien, omdat het zo GUI georienteerd is. Dat is natuurlijk wel goed voor GUI thuisgebruik, maar als je simpel een webserver wil hebben heb je VEEL meer aan een CLI interface. Windows is gemaakt en ontworpen voor de desktop, niet voor servers...

Verwijderd @GeniusDex • 6 oktober 2004 22:03

De GUI omzetten naar een gewone UI is toch niet zo moeilijk. En waarom zouden ze veel weg kunnen gooien dan? Die shell is maar een extra, geen vervanger.

Skaah 6 oktober 2004 20:58

Tsja, een script of een gecompiled programmatje, er is toch geen verschil, in mogelijkheden? Dit kan ook allang, zowel via de shell, als via de scripting mogelijkheden in de laatste Windows versies.

Waarschijnlijk worden deze extensies wel in Outlook (Express) standaard geblocked, net als .vbs nu.

Olaf van der Spek @Skaah • 6 oktober 2004 21:04

Inderdaad. Zodra de rotzooi binnen is ben je eigenlijk al de lul, wel of geen scripting.

Verwijderd 6 oktober 2004 20:56

Het bekijken van actieve processen en afsluiten ervan is inderdaad normaal in Linux. Vanwaar de plotse paniek?

AntiChris @Verwijderd • 6 oktober 2004 21:12

De "antivirusdeskundigen" hebben blijkbaar erg veel vertrouwen in de implementatie die Microsoft eraan gaat geven...

Verwijderd @AntiChris • 6 oktober 2004 23:48

Ik denk dat de angst meer te maken heeft met het grote aantal windows installaties.

Waar Linux (nog) enkel door mensen gebruikt wordt die denken veel van PCs te weten, zijn er vele malen meer Windows PCs. Een groot gedeelte daarvan wordt beheert door het zoontje van 12.
Voor virusschrijvers dus ideaal. Weer een mogelijkheid om te misbruiken op 95% van de PCs. Stel dat 1% van die computers fot geconfigureerd wordt heb je een heel leuk virus.

Trouwens bij Linux is het niet echt veiliger. Misschien is het niveau van de Linux gebruikers hoger en maken ze minder fouten, maar ik heb genoeg linuxbakken gezien waar je met telnet(!) of remoteshell op kan inloggen.

Verwijderd @Verwijderd • 6 oktober 2004 21:58

Zie vorige posts: omdat je in linux normaal gesproken niet root heet

Verwijderd @Verwijderd • 6 oktober 2004 21:58

oops, dubbelpost... mod maar weg

Verwijderd 6 oktober 2004 20:55

Je kan nu als "scripts" (.vbs enzo) uitvoeren die ongeveer hetzelfde kunnen doen.
Niet echt veel nieuws, alleen weer een nieuwe entry point waar Microsoft op moet gaan letten.

Ids Lupo @Verwijderd • 6 oktober 2004 21:01

Nou als ik het zo lees zijn het meer '.bat' scripts die direct uitvoerbaar zijn. En die paar functies die ze hierboven zo even opnoemen geeft me eigenlijk alleen de gedachte dat je als gebruiker toch nog weer een stap extra bedachtzamer mag zijn. Verwijzend naar de eerste post: onder Linux is het ook niet gebruikelijk om altijd met beheerdersrechten rond te struinen. Dit hoort nu dus bij windows ook niet meer; het installatieprogramma zal dus al zijn best moeten doen om verschilllende accounts aan te maken.

Verwijderd @Ids Lupo • 6 oktober 2004 23:37

De huidige versie hiervan heet WMI en geeft behoorlijk wat mogelijkheden. Je moet er wel Admin voor zijn. Als gewone gebruiker kan je er op een domain niets mee aanvangen.

De vraag voor dit type scripttalen is ook binnen de Windows community aanwezig. Dit is meer bepaald handig in grotere omgevingen om vele servers tegelijk na te kijken. Er bestaat zelfs een versie van WMI voor de welke je niets van VBS hoeft te kennen: WMIC. 1 maal je er weg mee bent, kan je binnen de kortste keren bepaalde processen op zoveel pc's als je wilt afsluiten, openen, ... Je kan er zelfs heel gemakkelijk rapporten mee generen. Maar nogmaals je moet admin rechten hebben. Is dit gevaarlijk; ja en nee. Admins horen nu éénmaal voorzichtiger te zijn dan gebruikers.
Ik begrijp eigenlijk niet goed waar al die security "experts" zich plots druk om maken. De mogelijkheden die ze beschrijven bestaan vandaag ook al.

Meer info over WMIC:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddo cs/en-us/wmic.mspx
http://www.microsoft.com/resources/documentation/WindowsServ/2003/stan dard/proddocs/en-us/Default.asp?url=/resources/documentation/WindowsSe rv/2003/standard/proddocs/en-us/ManagingWithWMIC.asp

Meer info over WMI vind je hier:
http://www.microsoft.com/whdc/system/pnppwr/wmi/default.mspx

Interessante voorgemaakte en veilige scripts kan je hier downloaden:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyi d=b4cb2678-dafb-4e30-b2da-b8814fe2da5a
Vooraleer ik veel reacties zie ivm het woordje veilig. Ik bedoel er gewoon mee dat het leesbaar is en dat je het zelf kunt snappen en dat de source te betrouwen is.

Een hulpmiddel om dit soort script eenvoudig te maken:
http://www.microsoft.com/technet/community/scriptcenter/tools/wmimatic .mspx

NNF 6 oktober 2004 23:38

Goh...

Typisch, deze feature is alleen nog maar aangekondigd en nu is er alweer één of andere "expert" die meent dat dit wel eens een security risk kan gaan vormen. Als die beste man nou gewoon eens wacht todat het er daadwerkelijk is en dan pas een mening vormt?

Dit is gewoon onnodig onrust stoken.

Jack Flushell

@NNF • 6 oktober 2004 23:49

Die persoon heeft toevallig wel de nieuwe feature al onderzocht hoor. Hij maakt zich alleen zorgen en je kan maar beter zo vroeg mogelijk aan de bel trekken me dunkt...

Yen 6 oktober 2004 20:58

Als je de scripts ook kan draaien vanuit IE is het inderdaad een veiligheids risico

Verwijderd @Yen • 6 oktober 2004 21:40

IE verliest steeds meer terrein. Ikzelf gebruik het al nooit meer, zowel prive als op het werk niet. Bij mensen thuis waar ik de PC moet herinstalleren omdat deze compleet vern**kt is door spy/adware, installeer ik direct Firefox en zet ik Windows Update op automatisch, en verwijder ik alle verdere snelkppelingen naar IE. Enige manier om een PC redelijk schoon te houden.

Maargoed, dat is offtopic in dit verhaal.

Verwijderd 6 oktober 2004 21:47

DUH. op het moment dat ik SSH1 draai, staat mijn computer ook open voor de hele wereld en zou ik me ook terecht zorgen moeten maken.

ik maak me dan ook geen zorgen over deze feature, maar wel of het goed beveiligd zal worden, dan wel uit te zetten is..

'slogisch.

JoostBaksteen 6 oktober 2004 21:49

processen weer te geven en af te sluiten, e-mails te sturen of de inhoud van gedeelde netwerkschijven weer te geven

Wat is daar nieuw aan? Ik heb al heel lang een ps.exe en net share zit er al in vanaf windows 2000.

Je kan nu al aardig wat met shell doen, zoals service beheer / share beheer / user beheer (zie het commando net). En voor dingen je niet standaard kan zijn er al heel erg veel programmaatjes.

Ook kan je heel erg veel doen met ActiveDirectory via c++, dus als er nu een kwaadwillig persoon is kan hij het nu ook al command line doen. Alleen moet hij dan zelf zo'n programmaatje maken, als dat er nog niet is.

Het gaat dan misschien iets makkelijker, maar het kan nu ook al. Dus vind het maar een beetje bangdoenerij om niks.

Verwijderd 6 oktober 2004 23:34

Ik wist wel wat Microsoft al sinds de allereerste DOS versie probeert UNIX opnieuw uit te vinden. Nu zijn ze ongeveer aangekomen op het punt dat BASH werd ontwikkeld.

Ik voorzie dat als Windows over ongeveer 20 jaar een soort UNIX is geworden, Bill zich achter de oren krabt en zegt "Ik geloof dat een UNIX OS het ideale OS is."

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (89)

Sorteer op:

Weergave: