Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 29 reacties
Bron: SANS

De heren van SANS hebben gisteren weer de top-20 met de belangrijkste beveiligingsrisico's in software gepresenteerd. Met deze top-20 proberen zij de makers van software te helpen bij het vaststellen van de meest kritische veiligheidslekken in hun programma's. Software bevat vaak meerdere veiligheidsrisico's die lang niet allemaal even belangrijk zijn. Het kan dan voor de ontwikkelaars lastig zijn om te bepalen welk lek als eerste gedicht moet worden en hier probeert SANS te helpen. De lijst wordt samengesteld in samenwerking met een groot aantal vooraanstaande onderzoekers en bedrijven die zich met het beveiligen van software bezighouden.
Sleutels - veiligheid
De lijst bestaat eigenlijk uit twee top-10's. Eén voor Windows en de software die draait onder dit besturingssysteem en één voor Unix en Linux en de bijbehorende applicaties. Veel van de problemen op de lijst zijn oude bekenden, maar er zijn dit keer ook een aantal nieuwe punten. Zo wordt er nu gewaarschuwd voor onder andere de gevaren van file sharing en instant messaging, welke te vinden zijn op plaats zeven en tien van de Windows-lijst. Verschillende file-sharingapplicaties kunnen door anderen misbruikt worden voor DoS-aanvallen of het ongevraagd starten van applicaties. Ook het ongevraagd delen van persoonlijke bestanden of bedrijfsgegevens vormt een serieus risico.

Met de hoeveelheid lekken en exploits in de verschillende browsers die de laatste tijd het nieuws hebben gehaald, is het niet vreemd dat deze categorie nu ook op de lijst te vinden is. Verschillende experts raadden eerder dit jaar aan om gebruik van Internet Explorer te minimaliseren om risico's te vermijden. De samenstellers van de top-20 willen zover niet gaan. Zij raden aan om Service Pack 2 te installeren en om alle ActiveX Controls uit te schakelen. Voor alle andere punten uit de lijst worden ook tips gegeven om de risico's te minimaliseren. Directeur Alan Paller heeft aangegeven dat de top-20 dit jaar zo compleet mogelijk moest worden en daarom zijn naast het melden van de veiligheidslekken nu ook verschillende oplossingen gegeven om ze te dichten.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (29)

Prettig is wel dat ze bij elk veiligheids probleem ook direct een oplossing proberen te geven. Zoals bijvoorbeeld bij Internet Explorer: upgraden en DirecX
(euhm... dat schrijf je dus als directX, maar ik bedoelde dus ActiveX)
uitzetten. Daar heb je als gewone PC gebruiker eveneens wat aan.
Hulde!

@ n4m3l355:
Heit feit dat de software makers de gaten nog steeds niet gedicht hebben is niet de schuld van de eindgebruiker, zeker niet als het "gesloten" software is zoals bijvoorbeeld Windows.
Ik vind het echter goed dat SANS een ieder die op de site komt ook mogelijkheden biedt om iig een work around toe te passen en zo minder kwetsbaar te worden. De lezer kan iig zelf bepalen of hij kwetsbaar blijft maar volle functionaliteit ter beschikking heeft of niet.
Het is inderdaad jammer dat weinig mensen SANS kennen, maar nu Tweakers er aandacht aan heeft besteed... wie weet. ;)

@ Olaf van der Spek:
\o/ :D sorry, je hebt gelijk ;)
dat is zeker echter een tal van problemen zowel in de windows als linux omgeving zijn al langer bekend en het is wel jammer dat men nog steeds niet in staat is deze problemen op te lossen. ook vraag ik me af hoeveel gebruikers dit lezen. dus men kan voorstellen activex uit te schakelen echter ik denk dat 99% vd internetters niet eens weet wat SANS is.
upgraden en DirecX uitzetten
ActiveX?
De lijst die Sans heeft samengesteld is dynamisch en is proefondervindelijk vastgesteld.

De top-10 is niet aan een volgorde gebonden. Dit is gisteren nadrukkelijk vermeld tijdens de presentatie, maar het zijn de 10 meest belangrijke categorieen. Onder deze categorieen zitten weer subonderdelen en op dit moment zijn er ongeveer 242 vulnerabilities die het liefst zo snel mogelijk gestopt moeten worden.

SANS, uit naam van Ross Patel gaf aan dat er ruim 3000 bekende exploits zijn, maar de focus ligt op deze 20.

Er komen binnenkort een aantal bedrijven die gratis tests uitvoeren conform de SANS-lijst. Deze bedrijven moeten dan ook geaccrediteerd zijn door Sans, want anders weet je nog niet zeker of je grotendeels veilig bent.

In ieder geval een uitstekend initiatief en hoe meer mensen het zich bewust zijn, hoe veiliger het gaat worden.
Op plaats 1 hoort eigenlijk nog altijd de human factor te staan :) Bij alle OS'en. Nog steeds een ondergeschoven kindje, en daardoor niet serieus genomen. Altijd maar zeiken op bugs, en gaten maar ondertussen wel als root of administrator inloggen om te werken. ;)
Dat staat er ook: bij beide OS'en staat iets als "Authentication" wat neerkomt op het gebruik van algemeen bekende of zwakke passwords. Menselijke 'fouten' dus. En de lijst schijnt niet echt een top-20 te zijn, maar meer een opsomming van punten in een willekeurige volgorde. Dus...
Zij raden aan om Service Pack 2 te installeren
Lekker dat de Windows familie alleen uit Windows XP lijkt te bestaan.
Ze bedoelen te zeggen dat je de laatste Service Pack(s) moet installeren en de ActiveX controls uit moet zetten om de beveiliging van Internet Explorer te vergroten.
Wat ik nog mis in de lijst van Windows vulnerabilities is: 'Je PC met vertrouwelijke gevens op straat zetten omdat je denkt dat er een virus op zit' ;)
Tsja het grootste veiligheidslek is vaak de gebruiker zelf... Ik denk dat we allemaal wel iemand kennen die ondanks herhaaldelijke adviezen zijn PC totaal niet beschermd heeft, en dan helpen al die patches natuurlijk niet.
Klik eens op het woordje SANS bij bron?
Niet iedereen gebruikt XP natuurlijk dus dat argument gaat niet echt op naar mijn idee.
Je kunt altijd Firefox proberen. Alleen maar positieve feedback.
http://www.mozilla.org/products/firefox/
Oh jah, een linkje zou handig zijn.
http://www.sans.org/top20/
Ik kan op die pagina geen verwijzing naar Apple Macintosh vinden. Helaas ben ik niet zo thuis in al die jargon.
Alleen maar positieve feedback...

Ja dag, de negatieve laten ze gewoon niet zien. Kan die van mij nergens vinden (google balk kan alleen verbreed worden door een scriptje, niet gewoon door een optie) |:(
Als je dat zo allemaal leest wat er allemaal gevraalijk is dan zou je nog amper op internet durven komen... Maw, zorg steeds voor een backup en zorg dat je kunt formateren, voor de rest moet je je nergens zorgen om maken, als het misloopt, format en weer verder :)
Maw, zorg steeds voor een backup en zorg dat je kunt formateren, voor de rest moet je je nergens zorgen om maken, als het misloopt, format en weer verder
En hoe voorkom je dat je backup ook besmet raakt?
Door je backup te maken voordat je hem aansluit op internet... :)
Wie heeft dan nog een format nodig?

Je gooit gewoon je PC weg als je leuke home movies kan maken met Pamela & Paris :P
Beetje paranoide om ActiveX uit te zetten. ActiveX wordt idd misbruikt, maar gebruikers vergeten dat er ook positief gebruik van gemaakt wordt. Maar door dit soort belachelijke uitspraken zijn gebruikers veel huiveriger voor het aanzetten van ActiveX, als dat voor een bepaalde site moet.

Niet-ondertekende ActiveX, die moet je juist uitzetten. En bij wel-ondertekende applets gewoon laten vragen.
En laat gator corporation nu net ondertekende active X hebben, jeweetwel die spy company die ook je financieele transacties mag volgen volgens hun licentie voorwaarden en die bekend werd met kazaa geloof ik.

Het is wel te begrijpen dat steeds meer programma's bij levering met spyware komen aangezien voor veel programmeurs dat nu nog de enige bron van inkomsten is, ikzelf heb echter een bijzonder sterke afkeur van spyware,dus helaas geen inkomsten hieruit.
Dan vraag ik me af wie de ondertekening heeft goedgekeurd. Zo'n applet moet toch door een hele reeks tests van MS? Een soort WHQL maar dan voor applets?

Anyway, ik doelde een beetje op een terminal server, waarmee je via de "webverbinding" een verbinding opzet. Enorm handig en toegankelijk, maar wel ActiveX.
Beetje paranoide om ActiveX uit te zetten. ActiveX wordt idd misbruikt, maar gebruikers vergeten dat er ook positief gebruik van gemaakt wordt. Maar door dit soort belachelijke uitspraken zijn gebruikers veel huiveriger voor het aanzetten van ActiveX, als dat voor een bepaalde site moet.

Ik kan zo 123 niet iets verzinnen wat op internet met activeX handig zou zijn? Op een intranet in erg beperkte mate, maar op internet...??

Zat laatst in de postbank site om mijn saldo uit te printen van mijn spaarrekening, en daar werd met een activeX script de printopdracht aangeroepen. Waarom o waarom toch....?? Dat gaat namelijk ook perfect met javascript, en dat werkt ook na installatie van SP2 (idd, het activeX scriptje geeft nu een fijne waarschuwing dat 'ie het niet meer doet vanwege security blabla etc etc. Bedankt meneer postbank. Bedankt meneer activeX).

Oftewel: maak aub je site cross-browser en cross-platform, dat scheelt je een hele hoop gedoe achteraf. En ja, dat betekent geen activeX gebruiken voor openbare internet sites.
Ik heb in mijn Linksys de firmware van HyperWRT zitten en daar kan ik de activeX-elementen al in uitschakelen. Scheelt mij hier thuis een berg gezeik... :)
Service pack 2 is die voor XP neem ik aan voor het gemak. Niet iedereen gebruikt XP natuurlijk dus dat argument gaat niet echt op naar mijn idee.

Oh jah, een linkje zou handig zijn :+
Zij raden aan om Service Pack 2 te installeren en om alle ActiveX Controls uit te schakelen.
Uitschakelen van de belangrijkste features van een programma vind ik nogal een tijdelijke oplossing. Zoiets zou ik verwachten als je binnen 2 weken een patch verwacht en dat je je maar even zonder die feature moet behelpen.
De mensen die genoeg weten van computers zullen Internet Explorer niet gebruiken en de mensen die dat niet weten zullen ook niet genoeg kennis hebben om ActiveX uit te schakelen.
ActiveX zou standaard uit moeten staan

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True