Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties
Bron: BusinessWeek

Ondanks de extra zorg van softwareontwikkelaars voor beveiliging is het aantal veiligheidslekken in het tweede kwartaal van 2005 met ruim tien procent toegenomen ten opzichte van het eerste, volgens het SANS Instituut. Deze stijging wordt volgens het bedrijf veroorzaakt door de inventiviteit van de hackersamenleving voor nieuwe manieren om computers te binnendringen. Eerder werd al duidelijk dat de producten, die in de eerste plaats de computer van de gebruiker hackervrij zouden moeten houden, een steeds meer gewild doelwit zijn. Ook worden steeds meer onconventionele methoden gebruikt om virussen en achterdeurtjes te plaatsen; een slim in elkaar gezette afbeelding of zip-bestand kan de computer van buitenaf toegankelijk maken voor kwaadwillenden. Daarnaast zijn backupsystemen ook vaker het slachtoffer van inbraken, omdat ze ondanks hun gevoelige data toch slecht beveiligd zijn.

Hoewel ontwikkelaars alle mogelijke moeite steken in het maken van patches voor hun software, blijven de meldingen van inbraken en veiligheidslekken binnenkomen. Volgens Ed Skoudis, beveiligingsexpert en auteur van het boek 'Counter Hack: A Step-by-Step Guide to Computer Attacks and Effective Defenses', ligt dit aan de haast waarmee softwarehandelaren hun producten op de markt willen brengen. "We are deploying flaws much faster than we are deploying fixes.", aldus Skoudis. Met de komst van Service Pack 2 voor Windows XP is het besturingsysteem een stuk beter beveiligd. Toch blijft Internet Explorer volgens experts Microsoft kopzorgen geven, omdat het programma stukken code bevat die vijf tot tien jaar oud zijn en niet geschreven zijn met veiligheid op de eerste plaats.

Toch blijft de beste methode voor individuen en bedrijven om hun computers virus- en hackervrij te houden eenvoudig. Gebruikers moeten recente versies draaien van de gebruikte firewalls, anti-spyware- en antivirussoftware. Veel van dit type software bevat een automatische update-functionaliteit die dit zonder tussenkomst van de gebruiker vereist. Daarnaast worden mensen aangeraden verdachte e-mails of bijlagen eerst goed onder de loep te nemen alvorens deze te openen. "When it comes to security, vigilance is the key".

Slapende 'hacker' op HAL2001
Een gebruiker moet altijd waakzaam zijn voor de dreiging van hackers

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (48)

Het grootste euvel van Windows + IE + Outlook (eigenlijk heel ActiveX) is de zeer nauwe koppeling. Je moet met IE kunnen surfen, niet ermee in je OS kunnen rommelen. Je moet met Outlook mail kunnen lezen/schrijven, niet ermee in je OS kunnen rommelen. Het niet voor niets dat FireFox en ThunderBird veel populairder worden.
De extra veiligheid van FF en TB is ook maar schijn en leunt vooral op de nog beperkte userbase. Als dit soort programma's populairder worden, worden ze ook een interessanter doelwit voor hackers en zullen er meer veiligheidslekken ontdekt worden.
Waarom is dit zo? Elke programmeur maakt gewoon een bepaalde hoeveelheid fouten. Een programmeur die voor microsoft werkt zal er niet meer maken puur omdat hij voor MS werkt.

(edit: Hoewel de parent poster met ActiveX een heel goed punt maakt. Ook de architectuur van de applicaties telt mee en ActiveX, hoewel erg krachtig in z'n toepassingsgebied, is toch niet een van de meest veilige stukjes software voor web gebruik.)
De extra veiligheid van FF en TB is ook maar schijn en leunt vooral op de nog beperkte userbase. Als dit soort programma's populairder worden, worden ze ook een interessanter doelwit voor hackers en zullen er meer veiligheidslekken ontdekt worden.
Dit is maar in heel beperkte mate waar. Kijk naar Apache en IIS. De eerste wordt veel meer gebruikt en toch bevat de tweede veel meer fouten.
Microsoft heeft pas de laatste 1 a 2 jaar security als belangrijk punt op de actielijst staan en heeft daarvoor dus regelmatig bagger-security geproduceerd. Hiervan zijn tientallen voorbeelden op Internet te vinden. Veel van die security-problemen zijn non-security by design met als nummer 1 ActiveX. MS heeft met name in het verleden veel te veel met features als uitgangspunt ontwikkeld en er nooit bij nagedacht (of de kop in het zand gestoken bij de gedachte) dat die features ook door andere gebruikers dan de legitieme toegepast konden worden.
Waarom is dit zo? Elke programmeur maakt gewoon een bepaalde hoeveelheid fouten. Een programmeur die voor microsoft werkt zal er niet meer maken puur omdat hij voor MS werkt.
MS heeft een langlopende historie van het releasen van producten die niet af zijn. (Win2K had bij release een lijst van 60000 bekende openstaande bugs). Time-to-market was veel belangrijker dan een correct werkend product. Dat heeft niks met de kwaliteit van de programmeurs te maken, dat heeft te maken met de tijd die ze krijgen om hun problemen op te lossen. Mijn ervaring met OSS producten is dat de meeste projecten liever een product met minder features releasen, waarbij die features wel goed werken dan een product vol met features die geen van allen 100% werken.
Die "buggy" versie van WIndows 2000 was wel een van de stabielste produkten van Microsoft ooit, en wordt dagelijks door tientallen miljoenen mensen gebruikt.
Zegt dat eerder niet iets over de rest van de Microsoft software ? ;)
Wat de 60.000 Windows 2000 bugs betreft, dat waren niet alleen bugs, maar ook opmerkingen, spelfouten, grafische foutjes, doublures, ideeen ter verbetering, mogelijke bugs die nader onderzocht moesten worden, etc. Die "buggy" versie van WIndows 2000 was wel een van de stabielste produkten van Microsoft ooit, en wordt dagelijks door tientallen miljoenen mensen gebruikt.

Hetzelfde geldt voor andere grote projecten. Neem bijv Mozilla. Daar staan ook tienduizenden bugs in het systeem, en ook daarvan zitten er ontelbare doublures tussen, zaken die al lang zijn opgelost, etc. Zie http://www.ntwizards.net/2002/11/05/attack_of_the_bugs
De beveiliging van Windows of Linux of elk ander pakket wat dat betreft is net zo goed als die van de gebruiker zelf. Mensen maken zich er niet druk over want het 'overkomt mij niet'. Ken er zat die een virusscanner hebben, maar niet updaten en ook geen anti-spyware progs draaien. Nu is dat in Linux niet nodig, maar daar ken ik ook mensen die gewoon als root alle handelingen doen, en dat is vragen om problemen.

de beste beveiliging lijkt mij 1 superuser die niet kan inloggen vanaf de buitenkant.
Elke programmeur maakt gewoon een bepaalde hoeveelheid fouten. Een programmeur die voor microsoft werkt zal er niet meer maken puur omdat hij voor MS werkt.
Oneens, 3 opmerkingen:
1) Security research suggests Linux has fewer flaws wijst uit dat na een 4 jarig onderzoek van 5,7 miljoen regels code, "The Linux operating system has many times fewer bugs than typical commercial software"
2) Neem OpenBSD als voorbeeld, 1 remote security hole in more than 8 years"
3) De opmerking over Apache / IIS, maar die is gelukkig al gemaakt.

Waar het hier om gaat is dat er inderdaad altijd fouten gemaakt worden, maar afhankelijk van het 'marketing' model (hoe de software naar de markt gebracht wordt bedoel ik daarmee, niet de reclame), worden er voordat het op de markt komt, verschillende percentages fouten gevonden, en voor sommige softwareprojecten zijn dat er wel degelijk meer dan anderen. Linux en OpenBSD zitten onder het industrieel gemiddelde bijvoorbeeld.
Ja, ooh ik zou het ook echt willen dat elk programma zijn eigen browser gaat ontwikkelen en in de software plakken.. van FireFox en ThunderBird is ook al gebleken dat die zo lek zijn als een mandje..

IE is ook niet geweldig, maar het werkt wel goed.. veel programma's zijn er zelfs tegenwoordig ook deels van afhankelijk.. (Ook programma's bv van de belastingdienst voor aangiftes te versturen)..
Een stijging van het aantal gevonden lekken betekent niet alleen dat hackers beter worden, maar ook dat code nog steeds niet, of zelfs steeds minder, goed wordt getest en gecheckt.

'Een slim in elkaar gezette afbeelding' was puur en alleen een kwestie van slecht geprogrammeerde programma's, en niet zozeer dat plaatjes op zich onveilig werden. Alleen programma's die er op de verkeerde manier mee omgingen waren bevattelijk voor misbruik.

Oh, en crackers != hackers.
Bugs en fixes, allemaal leuk en aardig maar daar heb je niet zo heel veel aan als je een "domme" gebruiker heb.

1. Uw password is "Hj4gbc9@"
2. Das te moeilijk hoor, dat onthou ik niet.
1. Maar het is wel veiliger.
2. Nou en? ik neem lekker "piet02"
Das typisch een antwoord dat niet begrijpt waar de IT eigenlijk voor moet zorgen! Namelijk het leven van mensen MAKKELIJKER er op maken niet ingewikkelder.

Het is duidelijk dat voor de algeme gebruiker niet met "Hj4gbc9@" passworden geconfronteerd wilt worden.
Hij merkt dan terecht op "dit kan ik niet onthouden!". Dit is een duidelijk signaal dat deze trend van oplossingen niet de goede is. Mischien was een zin een betere beveiliging voor deze man.
Password: "Pietliepnaarromeenbrak2benen"
Dit was mischien wel een goed alternatief voor deze gebruiker.
Het is zelfs bewezen met allerlei onderzoeken dat mensen door die veel Pincodes, wachtwoorden moeten gebruiken veel meer kans hebben tot stress..


Hoe dan ook, ik denk dat de ITer juist naar alternatieven moeten zoeken zodat de gemiddelde consument (de gene die jij domme gebruiker noemt) op gemakkelijke wijze zich kan indentificeren bij zijn computer/applicaties. Deze indentificatie methode moet dan ook 'veilig' genoeg zijn om hack kans te verkleinen.

Oplossingen kunnen zowel hardware als softwarematig zijn.
Als je niet bereid bent om extra moeite in beveiliging te steken moet je ook niet zeuren als het gebroken wordt.

Er zijn genoeg mensen die passwords op een post-it op hun monitor hebben, of de pincode van hun pinpas op een briefje in hun portonomee hebben (het is maar 4 cijfers...)
Kep laatst een hacker's guide van 1000 bladzijden op de kop getikt voor 5 euri. Heb hem nog niet uit, maar ik weet wel dat je het inderdaad niet moet onderschatten.
Hack me niet als ik de naam verkeerd heb, maar Rick van Velthuizen zei gister (of eergister) op 538 dat hij niet bang was om gehackt te worden en dat z'n bestanden gejat worden, maar het lijkt hem wel eng dat een hacker zijn webcam bestuurd. Na dat boek weet ik wel beter.
Zeker zo'n bekende nederlander (met ongetwijfeld wel-begeerde tel nummers en email adressen van andere bn'ers op z'n pc) zou zich meer in beveiliging moeten verdiepen. (telefoon van paris hilton was toch ook al gehackt?)

Tekst onder het plaatje is dus zeker op zijn plaats!
Paris Hilton had een of ander abonnement waarmee de content van haar telefoon gesynched werd met een (beveiligde) server. Maar als je als wachtwoord daarvan de naam van je hondje pakt, dat iedereen kent, dan ben je gewoon niet zo slim bezig...
ja, hallo. Britney en slim... :+
ja, hallo. Pietervs en slim... :+

Gaat hier over Paris Hilton, niet Britney :7
offtopic:
Wat is de titel van die hacker's guide die je aan het lezen bent?

Of heeft iemand anders misschien een tip van een boek over hacking?
De term hacker word hier helemaal goed gebruikt.
hacker
A person who delights in having an intimate understanding of the
internal workings of a system, computers and computer networks in
particular. The term is often misused in a pejorative context,
where "cracker" would be the correct term. See also: cracker.

Er word hier nergens gesugereerd dat hackers met kwade bedoelingen pc's binnendringen.
Of je w8 tot een officier van justitie zijn pc bij het grof vuil zet...
Er zijn ook zat mensen die hun oude pc via marktplaats aanbieden met alle rommel nog op de hd... :Z
Het kan me weinig schelen of degene die mijn computer binnendringt kwade of geen kwade bedoelingen heeft, het kan mij niet schelen of hij/zij zich hacker of cracker noemt, ALLE hackers, crackers, packers, rackers of hoe ze zich ook willen noemen, hebben NIETS te zoeken in de computer van een ander. Inbrekers met goede bedoelingen, daar zit ik echt niet op te wachten!
\[Off-topic]
Mijn complimenten voor de keuze van de foto en de onderstaande tekst! :Y)
\[/Off-topic]
sluikreclame voor gauloises
Ondanks de extra zorg van softwareontwikkelaars voor beveiliging zijn het aantal veiligheidslekken in het tweede kwartaal van 2005 met ruim tien procent toegenomen ten opzichte van het eerste, volgens het SANS Instituut.
Lijkt me meer "dankzij de extra zorg..."
Er zijn 10% meer lekken gevonden (en waarschijnlijk ook gedicht), niet meer ontstaan. Er zijn echt veel meer lekken.

en toch maar weer het volgende quoten:
Testing can show the presense of bugs, but not their absence.
-- Dijkstra
Ik ben het 100% met de laatste zin, "When it comes to security, vigilance is the key", eens.

Ik draai zelf Windows 98SE zonder beveiligingspatches en zonder virusscanner en zonder firewall. Ik de afgelopen paar jaar maar 1 keer een virus gehad, en die zat in een een of ander vaag bestandje dat ik via een nog vagere website had binnengehaald.

Binnen 10 seconden had ik in de gaten dat er iets mis was. Om een of andere reden reageerde de PC anders, en er was ook wat harddisk activiteit die ik niet kon plaatsen. Meteen naar DOS gegaan en die puin uit m'n register gegooid. Het zal allicht nog ergens op m'n harddisk staan maar het doet in iedergeval niets meer.

Ook spyware merk ik direct op, maar gelukkig heb ik daar geen last meer van sinds ik Firefox gebruik.

Helaas is het de realiteit dat de huis-tuin-en-keukengebruiker maar al te snel grijpt naar bijzonder prijzige antivirussoftware en firewalls, terwijl 9 van de 10 infecteringen met virussen of spyware gewoon de schuld van de gebruiker zelf zijn en dus voorkomen hadden kunnen worden als de gebruiker wat oplettender was geweest.
Ik draai zelf Windows 98SE zonder beveiligingspatches en zonder virusscanner en zonder firewall. Ik de afgelopen paar jaar maar 1 keer een virus gehad, en die zat in een een of ander vaag bestandje dat ik via een nog vagere website had binnengehaald.
Een geluk dat je geen NT had, want dan zou de blaster-worm (net die 1 van de 10 andere infecties) je pc'tje besmet hebben zonder een "domme fout" van een domme gebruiker. En er waren er veel die geÔnfecteerd waren met deze worm

Bij mijn inzien hebben die scanners, en zeker die firewalls hun nut hoor.
Zelf daar ben ik het niet mee eens.
Als je netjes je windows had bijgewerkt had je daar helemaal geen last van gehad. De patch was er namelijk al veel eerder dan het blaster worm.

Dus wel domme fout domme gebruiker!
shit ik ben dom, ik gebruik mijn computer 2 uur per dag voor patience en hou niet de security bulletins van microsoft in de gaten.

Damn, dat ik die open deur niet zag.

Maar om toch maar weer ontopic te gaan ben ik het wel een beetje zat dat eeuwige gezeur over hacker (al dan niet crackers) in de media, laat die mensen lekker met rust
Een geluk dat je geen NT had, want dan zou de blaster-worm (net die 1 van de 10 andere infecties) je pc'tje besmet hebben zonder een "domme fout" van een domme gebruiker. En er waren er veel die geÔnfecteerd waren met deze worm
Op onze school zijn de systeembeheerders natuurlijk erg dom. Rond de 1000 pc's/servers en allemaal hadden ze last van die blaster worm. Systeembeheerders moeten gewoon als een kip zonder kop die patches installeren en niet erop testen of het gevolgen heeft voor bepaalde software, waardoor deze niet correct meer zou kunnen functioneren.
Bij mijn inzien hebben die scanners, en zeker die firewalls hun nut hoor.
Firewalls die alleen het verkeer van de boze buitenwereld weigert vind ik goed. Firewalls zoals die van norton die ook voor ieder sjit programmaatje begint te jengele of die op internet mag of niet is ook nog eens gebruiksonvriendelijk. Pas nog een meid FireFox aangesmeerd, ze starte em en daarna kwam norton aan, ze drukte op 'Toegang weigeren(aanbevolen)' en tada... n00b-proof zijn die dingen niet. En die meid zit ook nog eens achter een router met firewall.
Antivirus scanners zijn voor n00bs 100% nodig. Grof gezegd hebben n00bs de neiging om als kip zonder kop op alles te klikken wat ze zien. Het erge is ook nog dat ze verwachten dat ze veilig zijn omdat ze een Norton Antivirus of iets dergelijks erop hebben waarvan het abonnement 2 jaar geleden van verlopen is. En zelfs als ze alle recente updates hebben wil het niet zeggen dat ze veilig zijn.
Het grootste probleem blijft gewoon dat broncode, van welk software pakket dan ook, verkocht word voor veel geld. Ik vind het een beetje naief om niet te denken dat selecte groepen oa niet de broncode heeft van Windows.

Het is een gebed zonder eind en zolang mensen vatbaar zijn voor $$$ blijf je problemen houden. De strafmaat en de tracering van misbruikers moet gewoon gigantisch omhoog, dat is het enige middel, bezind eer gij begint ;)
Gegeven genoeg doorzettings vermogen, heeft een aanvaller geen broncode nodig, om gaten te vinden en daar misbruik van te maken. Zonder een disassembler is het wellicht lastiger, maar als je die zou verbieden, kan er ook geen legitiem gebruik meer van gemaakt worden (b.v. voor hardware cq compiler ondwikkeling, snelheids optimalizatie, etc.)

Het omgekeerde is veel meer het geval, namelijk: om een redelijke maten van zekerheid over het ontbreken (van grove beveiligings fouten) te verkrijgen, kun je het geheel dan op z'n minst aan iets als Splint voeren. En testen of geleverde binaries ook echt van die sorce afkomsting zijn.

Maar om echt een beetje vertrouwen in correcte werking te krijgen, zal het zo simpel moeten zijn dat er geen andere conclusie te trekken valt dan dat het niets meer of minder doet dan gewenst ...

(Dit geld natuurlijk ook allemaal voor microcode - o.a. in processors zoals x86 - en bootstrap code als voor het BIOS of OpenFirmware, etc. De werking van de hardware zelf zal dus ook te controleren moeten zijn (i.e. volledig "open" voor gebruikers, en analisten namens hen.))

http://www.acm.org/classics/sep95/
Naarmate meer en meer mensen belangrijke zaken via internet gaan doen, wordt beveiliging belangrijker. Denk dat dit daarom ook een zorgelijke ontwikkelling is.
Vooral ook omdat veel mensen niet updaten uit onwetenheid of omdat je dan niet zeker weet of alles nog werkt na een update(zie win2000 service pack euvel http://www.tweakers.net/nieuws/38195).

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True