Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 69 reacties
Bron: The Register

Het gebruiken van Windows Server is riskanter dan Red Hat Enterprise Linux (RHEL), zo claimt Red Hat. Het bedrijf baseert deze conclusie op een rapport van het SANS instituut. Deze organisatie heeft een lijst van de 20 meest gevaarlijke netwerk-gerelateerde lekken gedefinieerd. Slechts twee hiervan zijn terug te vinden in RHEL. De zes belangrijkste veiligheidsproblemen hebben betrekking op: Internet Explorer (IE), Exchange Server, Windows Message Queuing Server, het Windows SMB protocol, de Windows HTML help file en het op afstand uitvoeren van code in een Windows shell.

Red Hat logo (rood)Red Hat geeft aan dat er vaak wordt gekeken naar het aantal lekken in Linux en andere besturingssystemen, maar te weinig naar de gevaarlijkheid van de gevonden problemen. De twee in de top 20 genoemde lekken zijn inmiddels gepatched, aldus Red Hat. Afgelopen maart is er nog een rapport verschenen waaruit bleek dat RHEL minder veilig was dan Windows Server.

Naast de vergelijking tussen de verschillende besturingssystemen speelt er nog meer. Opvallend is de trend rondom de veiligheid van backupsoftware zoals ArcServe en Veritas. In deze software worden steeds meer zaken gevonden, wat de producten een gemakkelijke prooi maakt voor aanvallers. Backuptools zijn interessant voor misbruikers omdat deze vaak ongelimiteerde toegang hebben tot alle data.

Moderatie-faq Wijzig weergave

Reacties (69)

Ik wordt altijd een beetje moe van dit soort verhalen. Wij van WC eend adviseren WC eend. :+

Het systeem is zo goed als de administreerder het administreed. Punt uit.
Een administreerder kan nog zo goed administeren, maar als er iemand met een DOS of een simpele buffer overflow waar nog niemand van wist of waar microsoft nog geen pach voor wil vrijgeven root access tot je bak krijgt, kan jij daar als administrator echt weinig aan doen.
Als jij je systemen goed beheert, dan is dat nagenoeg onmogelijk...

Houdt je systemen up to date, installeer firewalls, virusscanners, spyware scanners, enz. Als je dit allemaal netjes doet, dan maakt het denk ik niet echt veel uit wat voor besturingssysteem op je machine draait.
Een firewall, virusscanner of spyware scanner helpt helemaal niets als er een bug (bijv een bufferoverflow) zit in de login authentificatie van bijvoorbeeld arcserve of VPN waardoor men dezelfde rechten krijgt als de user waar dit programma onder draait.

Dan kan je nogzo goed adminnen, maar daar doe je helemaal niets tegen. Je server is zo veilig als de programma's die er op draaien.
Een firewall, virusscanner of spyware scanner helpt helemaal niets als er een bug (bijv een bufferoverflow) zit in de login authentificatie van bijvoorbeeld arcserve of VPN waardoor men dezelfde rechten krijgt als de user waar dit programma onder draait.
Hangt deels van je firewall af. Veel moderne firewalls zoals ISA en checkpoint kunnen veel beter controleren wat er nu precies aan verkeer bijkomt en zo zaken afschermen.
Als jij poorten open hebt staan in je firewall, dan ben je inderdaad enigzins afhankelijk van de programmatuur. Zelfs dan kan je het gevaar minimaliseren, door 'externe' machines (webserver, mailserver e.d.) in een DMZ te zetten of via een RADIUS server te routeren.

In principe is het nooit onmogelijk om ergens binnen te komen als je bijvoorbeeld toestaat dat VPN's opgezet kunnen worden. (Je kan zelfs usernames/passwords raden). Je kan de kans dat het gebeurd echter wel nagenoeg onmogelijk maken en daarvoor maakt het m.i. niet uit welk OS je gebruikt.
Ik dacht dat je een systeem gebruikt voor een bepaalde functie en het daarop afstemd wat je aanschaft.

Het zal toch niet zo zijn dat je voor extra functies (firewall, virusscanner of spyware scanner) je een duurdere aanschaf moet maken om alleen de functie te kunnen gebruiken.
Wel eens van "Crackers" gehoord??

Die maken gebruik van lekken die niet bekend zijn bij de buitenwereld maar die ze bijvoorbeeld door zelf source code te inspecteren of bufferoverflows te genereren aan het licht brengen.

Dit kan pas maanden later worden ontdekt, nadat er al meermalen misbruik van de server systemen is gemaakt.
Hangt deels van je firewall af. Veel moderne firewalls zoals ISA en checkpoint kunnen veel beter controleren wat er nu precies aan verkeer bijkomt en zo zaken afschermen.
Een veiligheidslek is een veiligheidslek, daar helpt geen lieve moeder tegen. Natuurlijk is het zo dat dingen die niet voor de buitenwereld toegankelijk zijn niet misbruikt kunnen worden, maar je zult toch iets open moeten zetten wil je nog een nuttige dienst aan kunnen bieden. Als er daar vervolgens een veiligheidslek in zit heb je hoe dan ook een probleem, firewall of niet.
@ The End,

Mee eens, ik heb voor de lol een server draaien op Windows 98, en al 2 DOS aanvallen gehad, en hoewel m'n verbinding erg traag was bleef de machine draaien.
het enige wat echt helpt is onbekende ip's automatisch bannen ;) maarja, dan krijg je een lijst waar je scheel van wordt omdat je alle ip's die niet gebanned mogen worden automatisch in de unban list moet sodemieteren ;)
Daar heb je standaard deny all / allow whitelist ACLs voor.
@ The End, als je echt een beetje verstand hebt van zaken dan ga je gee spyware scanners installeren op je systeem (spyware komt alleen binnen als je internet lijkt mij, en internetten op een server is toch behoorlijk fout). En virusscanner is ook niet altijd nodig, ligt er echter aan hoe het netwerk is opgebouwd binnen een organisatie. Een cluster van 100 Linux servers heeft toch ook geen Norton Antivirus 2005 geinstalleerd :Z
De "buitenkant" van je netwerk bescherm je normaal gesproken niet eens met heteens metzelfde OS wat je intern draait. Dus ik ben het eens met dat een netwerk net zo goed beveiligd is als de beheerder die het beheert.

Dat is niet OS gebonden. Want alle zaken die in het artikel staan hoeven geen enkel probleem te vormen mits je je huiswerk gedaan hebt.

Maw, iemand die niet kan autorijden zal zijn auto ook eerder in elkaar rijden.......
Tuurlijk. En de volgende dag gaat iemand met vakantie en plakt vrolijk een post-it note op zijn/haar monitor met inlognaam en wachtwoord |:(

Of heb jij, beste beheerder, de gehele vakantieplanning al in je account-disabled schedule staan? :Z
Nooit ervan gehoord dat de meeste gevaarlijke hacks naar gevoelige data van binnen het bedrijf komen, niet van buiten?
Ja dat klopt, en daarom heb je interne firewalls, ipsec, acls, policies etc etc.
Het systeem is zo goed als de administreerder het administreed. Punt uit.
Een systeem is zo goed als de zwakste schakel. Dat kan de beheerder zijn, dat kan ook het OS zijn.
Als een beheerder een zwakke schakel niet op één of andere manier afschermt, of misschien dus de verkeerde keuze voor de oplossing heeft gemaakt, is de beheerder dus nog steeds de zwakste schakel.
Dat is onzin natuurlijk. Als er een exploit in een service zit die je aan je gebruikers aan wil bieden en daar is nog geen oplossing voor kan je niks anders doen dan wachten. Voor sommige dingen komt geen oplossing ook omdat ze insecure by design zijn. (Zie mijn diverse eerdere rants op ActiveX).

De keuze voor een bepaalde oplossingen wordt in de meeste grote omgevingen niet door de beheerder gemaakt; dus die kan er niks aan doen als hem een slecht systeem over de schutting wordt gesmeten.

Daarnaast heb je de factor tijd/geld: als een veilig systeem 10x meer kost dan een systeem dat minder veilig is, zullen er maar weinig beheerders zijn die dat budget losgepeuterd zullen krijgen.

Tenslotte heb je altijd de tegenstelling functionaliteit <--> veiligheid. Het enige echt veilige systeem is een systeem zonder stekker (ook lekker stabiel: uit is uit :)). Er zal altijd een balans gezocht moeten worden tussen de twee uitersten.
Voorbeeld: je kan alle attachments doorlaten, met een groot risico op virussen, je kan ook alle attachments blocken, geen virussen meer, maar ook een deel van de functionaliteit van je mailsysteem is weg. De middenweg is: mail filteren op virussen; echter dat kost geld, sommige (m.n. nieuwe) virussen zullen toch doorkomen en mogelijk zal er af en toe een valide bestand toch weggegooid worden.
hmmmm
dat betekend......
Als ik mijn server goed administreerd.....
dan kan ik met mijn armen over elkaar gaan zitten
nogal kortzichtig
Vooral Windows heeft voortdurende aandacht nodig
We doen meer aan een Win2003 server onderhoud plegen dan op onze Novell...laat staan op de HP-UX machines
zelfs op een rustige administreerder dag.....(vandaag is trouwens de Dag van Systeembeheer) heb ik nogal wat te doen....
dan wil ik wel eens weten wat voor spul jij hebt staan, en dan helemaal wat er op draait??

een kale Windows2003 zonder internet...ja daar zal weinig op gebeuren
Het beheren van een machine is niet een eenmalige actie. Dat bedoelt Drobanir ook niet. Je bent pas een goed beheerder als je 'continue' met de machine(s) bezig bent. Onderhoud, controle, updates enz.

Je vergelijkt eventjes een paar systeempjes zonder erbij te vertellen wat ze doen. Dat is voor de lezer van jou bericht dus compleet nutteloos. Misschien is die Windows 2003 machine wel webserver/domain controller/mail server(Exchange)/File server enz. en is de Novell server een router....

Een goed geconfigureerde en niet overbelaste Windows 2003 machine heeft niet veel meer of minder onderhoud nodig, dan een machine met een ander OS die hetzelde werk verricht.
Feit blijft dat 90% van de wereld Windows gebruikt. Hierdoor zullen hackers/virusmakers ten alle tijden hier hun aandacht op blijven richten (meeste kan op verspreiding)
Dat geldt hoogstens voor scriptkiddies. Voor een échte hacker is het veel stoerder om een supergoed beveiligd systeem te kraken dan om 1000 slecht beveiligde thuis-PC'tjes te pakken te nemen. Er zal dus door de écht goede beveiligingsexperts net zoveel of misschien wel meer naar fouten gezocht worden in Linux als in Windows.
Als Linux 90% van de markt zou hebben dan zouden hier de meeste "fouten" in gevonden worden zeker gezien het feit dat het opensource is.
De meeste beveiligingsexperts zijn het erover eens dat Open Source software eerder veiliger maakt dan minder veilig. ("Security through obscurity is no security").

Zou je liever een bank hebben waar je je geld door de brievenbus moet gooien en waar je daarna absoluut geen idee hebt wat ze er mee doen (misschien wordt het wel in een kartonnen doos onder de brug gelegd) of een bank waar je je geld overhandigd aan iemand, die je vervolgens (via camera's) kan volgen tot hij het in de goed beveiligde kluis stopt?

Bij de eerste is de beveiliging gebaseerd op security through obscurity; zolang niemand ontdekt dat die kartonnen dozen onder de brug vol met spaarcentjes zitten, is het veilig, echter, zodra iemand een keer de bankmedewerker volgt die de kartonnen dozen onder de brug legt, valt de hele beveiliging om. De bank zal dan genoodzaakt zijn een andere brug te zoeken totdat die ook weer ontdekt wordt.

Bij de tweede bank kan iedereen de interne werking zien en degenen die er een beetje kijk op hebben kunnen de fouten zien. ("Zeg, ik bracht net m'n geld weg, en zag dat de medewerkers, om het geld in de kluis te leggen, het steegje achter de bank over moeten steken, is dat nou wel handig?")

Natuurlijk is het zo, dat indien de tweede bank z'n geld onder de brug zou leggen dit veel sneller gevonden zou worden, immers, iedereen ziet de medewerkers met het zojuist gestorte geld de deur uit lopen en het onder de brug leggen. Dus, een voor "open" bank is het veel belangrijker om een écht goede beveiliging te hebben dan voor een "gesloten" bank.
Als ik even refereer aan Marve.
De meeste websites draaien op apache dus die is het beste target. Echter IIS is lekker dan apache.
Windows wordt inderdaad meer gebruikt en is dan een groter target, maar daarnaast ook nog eens een heel gemakkelijk target.

Een olifant van papier brandt nou eenmaal harder dan een olifant van staal...
Ja das dus vette bullshit... als linux zo populair en veel gebruikt was als Windows dan weet ik zker dat Linux ten onder ging aan al die lekken die werden gevonde in dat gatenkaas OS Linux is juist nog zo lek als een mandje omdat de meerderheid zich richt op Windows Systemen
Dat is niet waar, wist je dat het merendeel van de Internet Webservers op Linux icm. Apache draait?
Het was altijd IIS die het makkelijkst exploitable was terwijl die toch duidelijk in de minderheid is!
Je conclusies trekken uit slechts 1 rapport is natuurlijk niet echt objectief. Als er meerdere instituten/bureaus waren die allen meerdere rapporten hebben geschreven en als je daaruit dan je conclusie trekt, dan kom je pas geloofwaardig over.

Microsoft heeft ook om de haverklap dit soort uitspraken die ze baseren om 1 rapport van 1 instituut. Zegt natuurlijk helemaal niets over de veiligheid.
Maar het SANS is een instituut dat alle bekende lekken en problemen bijhoudt, inclusief het feit of er wel of geen patch voor beschikbaar is.
Volgens het SANS heeft Windows (vanaf Windows 2000 en later) dit kwartaal de meeste lekken gehad.
Bron: http://www.sans.org/top20/q2-2005update/detail.php

Dus in dit geval heeft RedHat wel een punt. Zij baseren zich op de feiten die geleverd worden door een onpartijdige partij (wat SANS in dit geval dus wel is). en die feiten liegen er nu niet om.

RedHat heeft misschien meer lekken die minder kritiek zijn, maar die lekken zijn minder makkelijk te misbruiken en hebben minder impact op het systeem (lees: je kunt het systeem niet helemaal overnemen).
Daarnaast zijn de twee kritieke lekken die er van RedHat waren ondertussen gepatched, dus feitelijk zijn er nu geen kritieke lekken meer van redhat, terwijl de kritieke Windows lekken nog niet allemaal gepatched zijn.
Je moet ook rekening houden met de verschillende mogelijkheden voor statistiek.

Er zijn zoveel manieren om naar een dataset te kijken dat je er altijd wel iets uit kan halen dat in je voordeel werkt. Zelfs als de data exact gelijk is, en de feiten in rapporten tot in detail kloppen kan het nog zijn dat MS in het ene, en RedHat in het andere goed naar voren komt.

Denk maar eens aan 'marktaandeel' van grafische kaarten wat de laatste tijd ook wel eens in het nieuws is.
- Kijk je naar omzet om te bepalen wat iemand's aandeel is? Dan benadeel je de budget-merken waarschijnlijk.
- Kijk je puur naar aantallen, dan maak je het weer gemakkelijk voor geintegreerde chips, die wel verkocht zijn, maar misschien niet gebruikt worden
- Kijk je alleen naar desktops? Of ook laptops? En speciale toepassingen zoals PDA's, mobiele telefoons, etc.? Daar kan je ook nog veel mee 'sturen'.

Zo moet je met dit soort rapporten altijd voorzichtig zijn en het interpreteren in de context (waar komt de data vandaan, waar komt het onderzoek vandaan, wie heeft het geinitieerd). Tuurlijk 18 lekken tegenover 2 is wel een grote marge. Maar je kan er donder op zeggen dat ondanks het feit dat de SANS data onafhankelijk is, RedHet wel die statistiek gezocht heeft die het beste voor ze uitpakt.

Ik denk zelf, dat het verschil tussen de OSsen praktisch gezien niet eens zo groot is aangezien alle partijen regelmatig kunnen 'bewijzen' dat zij het beste zijn (ze hebben dus allemaal wel wat). Mogelijk zit voorlopig het grootste praktisch voordeel gewoon in het kleinere marktaandeel van Linux (in het algemeen) omdat dat dan minder snel als doelwit gekozen wordt.
Uit ervaring: RedHat meer secure dan Windows.

Probeer het self maar. Sluit twee kastjes aan op het net en laat ze zichzelf automatisch van patches voorzien, verder niet aankomen. We'll talk in twenty (minutes not days)...
Op die manier een vergelijking maken is wel heel nutteloos.

Als je verder niet aan je systemen komt dan ben je een prutser.
Op zich maakt het pas wat uit welke beveiligingsrisico's erin zitten als de serivce ook daadwerkelijk gebruikt wordt. Als de service (of het programma) niet gebruikt wordt, en de desbetreffende poorten staan dicht, maakt het niets uit; het programma kan niet gebruikt worden.

Als nu in de core beveiligingslekken zitten, behoren deze a.s.a.p. gedicht te worden. ook al zou net de security upgrade ronde gedaan zijn. Dat ze bij windows er schijnbaar langer over doet om een patch uit te brengen an op open source programma's lit eraan dat er bij windows slechts een paar personen hiermee bezighouden. Bij de open source community zijn er veel meer ogen die alle code in de gaten houden. herdoor wordt ook sneller een bug opgemerkt en gepatched. soms al binnen enkele uren na ontdekking. bij ms moet het eerst door de papiermolen heen, dan wordt er getest of er daadwerkelijk een bug is en daarna wordt eht ingepland om ernaar te kijken.
Dat heet ook wel een kwaliteitstraject.
Of een Risico analyse.
Normaal gesproken claimen bedrijven altijd dat het produkt van de concurrent beter en veiliger is dan hun eigen produkt....
Opvallend nieuws is dit dan.... }>
En toch zit er een kern van waarheid in.
Eén (highly) critical vulnerability is m.i. erger dan tien "not critical" vulnerability. Het gaat uiteindelijk ook om de impact als het fout gaat ...
Ik denk persoonlijk dat je een netwerk nooit moet baseren op software van 1 leverancier. one system going down.....all going down
Dit betekent dus dat je bij de inrichting van je netwerk altijd de sterke schakels op de juiste plek moet zetten.

Ik ben het er overigens mee eens dat het veiligste systeem een uitgeschakeld systeem is. In software worden altijd fouten gemaakt en de software is ook nog eens afhankelijk van eventuele onderliggende lagen waarin fouten kunnen zitten.
Er zijn overigens instanties die wel varen bij software fouten zoals de amerikaanse inlichtingendiensten.

De beheerder van een netwerk is inderdaad de zwakste schakel. als deze een klein foutje maakt kan dit grote gevolgen hebben.

Houden de beheerders onder ons er ook wel rekening mee dat vaak backuptapes het kwetsbaarst zijn in een netwerk? Vaak wordt er dagelijks een backup gemaakt van alle belangrijke en gevoelige informatie maar vervolgens wordt er geen password op de tape gezet. Als kwaadwillenden deze tapes in handen krijgen........is de rest van de beveiliging niet relevant meer
Leuke opmerking over die tapes, maar ik kom het al zeer veelvuldig tegen dat een windowsserver niet eens op het bekende aanmeldscherm staat. je kan dus gewoon in een onbeveiligde ruimte achter een onbeveiligde server zitten die als admin aangemeld staat.

in dat geval is het zoeken naar tapes al te veel moeite.
Dit vind ik nou de slimste opmerking die ik in tijden gehoord heb :)
Natuurlijk zegt Red Hat dit; hun product komt als 'beter' uit deze test.

Bij dit soort rapporten blijft de vraag altijd een beetje hoe gevaarlijk die 'gevaarlijke lekken' nou werkelijk zijn. Iedereen weet dat je bijvoorbeeld je SMB shares niet naar het internet toe open moet zetten en dat je op een server niet uitgebreid moet gaan zitten browsen (waarbij de standaard instelling van IE op 2k3 server zo is dat je er toch al bijna niks mee kan). Een systeem/netwerkbeheerder die zijn vak verstaat kan beide systemen zo veilig en onveilig maken als hij zelf wil...

'flamebait.... interessant :+ '
Dat een systeem of netwerk zo veilig is als de beheerder het administreert vind ik nogal kortzichtig. Als je een machine aan het internet koppelt loop je altijd een risico. Ongeacht het OS, de software of de mate van beveiliging.

Op m'n werk hebben we gelukkig zelden problemen (knocks on wood). We hebben één keer met een gehackte Windows webserver te maken gehad, een aantal jaar geleden. Dit kwam door een lek in IIS. De machine zat in de DMZ en alleen poort 80 stond open om websites te serveren. Door het lek was het mogelijk door poort 80 de controle van de machine over te nemen. We ontdekte het op het moment dat er een patch voor het lek uitkwam...

Je kunt je systeem nog zo up-to-date houden, een lek is er altijd eerder dan de oplossing. En gelukkig zijn er tegenwoordig veel betere firewalls en manieren om een systeem te beveiligen, maar hackers zijn ook niet achtergesteld...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True