Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 125 reacties

De aanvallen van hackers op Sony's PlayStation Network en beveiligingsbedrijf RSA konden slagen dankzij beginnersfouten. Dat stelt een beveiligingstopman van Microsoft. Hij claimt daarnaast dat Microsoft immuun is voor ddos-aanvallen.

Microsoft logo (27 pix)Sony en RSA hadden de succesvolle aanvallen op hun systemen eenvoudig kunnen voorkomen, stelt een beveiligingstopman van Microsoft volgens Computing.co.uk. De topman, John Howie, haalt aan dat Sony's PlayStation Network kon worden gekraakt doordat servers ongepatchte software draaiden. Ook zouden er programmeerfouten zijn gemaakt. Beginnersfouten, aldus Howie.

Hetzelfde geldt volgens Howie voor RSA, waar hackers in maart informatie over de werking van SecurID-sleutelgenerators buitmaakten. Dat gebeurde door social engineering; een medewerker werd ertoe verleid om een besmette e-mailbijlage te openen. Volgens Howie zijn bij Microsoft beveiligingsmaatregelen getroffen om dat soort aanvallen te voorkomen.

De opmerkingen van Howie zijn opmerkelijk, omdat Microsoft niet is gevrijwaard van beveiligingsproblemen. Onlangs nog dook een beveiligingslek op in Hotmail, waardoor het mogelijk was om e-mail van gebruikers te stelen. Vorig jaar klaagde een beveiligingsonderzoeker dat Microsoft gemelde kwetsbaarheden maandenlang ongepatcht liet.

Tot slot beweert Howie dat zijn bedrijf maatregelen heeft genomen om ddos-aanvallen te kunnen weerstaan; het bedrijf zou bijna immuun zijn voor dergelijke aanvallen. De servers van Microsoft zouden aanvallen tot vijf gigabit aan traffic per seconde kunnen weerstaan en daarboven zou het bedrijf maatregelen treffen om malafide hosts te blokkeren.

Gerelateerde content

Alle gerelateerde content (42)
Moderatie-faq Wijzig weergave

Reacties (125)

Tot slot beweert Howie dat zijn bedrijf maatregelen heeft genomen om ddos-aanvallen te kunnen weerstaan; het bedrijf zou bijna immuun zijn voor dergelijke aanvallen. De servers van Microsoft zouden aanvallen tot vijf gigabit aan traffic per seconde kunnen weerstaan en daarboven zou het bedrijf maatregelen treffen om malafide hosts te blokkeren.
Veel DDOS attacks hebben niet met bandbreedte te maken.

Met bijvoorbeeld een SYN flood uit ene bot net met (tien/honderd)duizenden hosts kun je een netwerk plat krijgen.
Daar helpt het blokkeren van hosts niet meer aan. Dat kun je zo goed als niet differentiëren zeker als er constant een ander source IP adress gespoofed wordt.
Inderdaad, veel dataverkeer is geen garantie tegen een DOS-attack, vind een request die veel rekenwerk voor de server tot gevolg heeft en/of een hoop data oplevert en het bespaart je als (D)DOS-er een hoop dataverkeer.

Een bekende aanval is ook om juist heel langzaam te communiceren met de servers, daarmee bezet je alle kanalen, terwijl het nauwelijks dataverkeer kost.
Aangezien Microsoft continu het pispaaltje is kan John Howie dit zelfverzekerd zeggen.
Microsoft moet zich continu verdedigen omdat zij continu een target is.
Ongeacht of hij het zegt of niet krijgen ze continu diverse aanvallen te verwerken.

Dat is (volgens mij) een commerciele afweging van het risico om gehacked to worden of reclame te maken voor een 'veilig' product. En het risico is erg laag ten opzichte van vele andere bedrijven.

En zeg nou zelf, elke gerespecteerd bedrijf met een beveiligings product of 'gevoelige' producten moet kunnen zeggen dat ze veilig zijn? Anders durven we straks niet eens meer elektronisch te bankieren....

Ik durf te zeggen dat Microsoft een van de beste security teams in de wereld heeft.
Door eigen opleiding, gerichte werving (van onder andere hackers).
...en niet te vergeten praktijkervaring die continu getest wordt...

Microsoft komt er continu achter en leert. Het is niet de vraag of er gehacked wordt...maar wanneer en hoe. En als het gebeurt hoe je het afvangt. En dat hebben ze goed voor elkaar.

En nee, ik werk niet voor Microsoft.

Edit: Maar ik vindt het wel bot en onbeschoft om andere bedrijven af te vallen/af te kraken.

[Reactie gewijzigd door kwakzalver op 5 juli 2011 11:49]

Tot slot beweert Howie dat zijn bedrijf maatregelen heeft genomen om ddos-aanvallen te kunnen weerstaan; het bedrijf zou bijna immuun zijn voor dergelijke aanvallen.
Hier zou een 'challenge accepted, gentlemen' niet bepaald misstaan. Ik kan me niet echt voorstellen waarom een bedrijf deze stelling zou doen, naast 'wij zijn beter dan'. Het doet eigenlijk niets meer dan uitdagen imo.
Volgens mij is Amazon de eerste grote website (of cloud) die een DDOS aanval van Anonymous heeft weerstaan. Aangezien MS ook cloud services heeft, is het niet onwaarschijnlijk dat je dus met een grotere DDOS aanval moet komen dan Anonymous laatst heeft kunnen organiseren.

http://news.techworld.com...el-anonymous-ddos-attack/##
Maar dit is vele maanden geleden. Denk dat de groep ondertussen een aardig stukje groter en kundiger is geworden.

Met name als lulzsec met hun 'we hebben maar maximaal 5% gebruikt' botnet aanstoot neemt.
Je bedoelt met Lulzsec die 5 gasten die accuut opgehouden zijn met hun sql-injectietjes en hun ddos-aanvallen toen hun naam- en adres-gegevens op straat kwamen te liggen ?
Die Lulzsec ?
Je snapt toch ook wel dat wat je in de media binnen krijgt onmogelijk het hele verhaal kan zijn?
John Howie wist natuurlijk precies wat hij kon verwachten. De man is bepaald niet dom en je wordt geen hoofd van ale online beveiling en cloud computing als je je eigen uitspraken niet snapt.

Hij stelt gewoon simpel dat hun eigen cloud een DDos aanval gemakkelijk te weerstaan is omdat ze tot Gbits niet zouden merken en pas bij 5 Gbits gaan zweten maar dan nog wel wat tools hebben. Hij wil het duidelijk wel weer eens stress testen.

Zijn hoofdargument gaat echter over
Sony die ongepatcthe servers had, waarvan hij stelt dat dit bij Microsoft niet mogelijk is door een intern systeem dat dit continu controleert.
RSA die aan social engineering ten prooi viel. Hij stelt dat het personeel daarop getraind is en dat er mechanieken in plaats zijn om dit te voorkomen.

Misschien wel aardig om dit filmpje te bekijken http://technet.microsoft.com/en-us/edge/Video/ff945087 waar hun cloud security and best practices toegelicht worden.
Doet het hier op de mac anders prima.
Dit is inderdaad vragen om "getest" te worden. Voor een security officer vind ik dit dan ook een hele slechte zet. Het is in mijn optiek not done om te beweren dat je "veilig" bent. Zeker bij zo'n groot bedrijf als Microsoft zal ook m.b.v. social engineering een heleboel mogelijk zijn.
Dit is net zo fout als bijvoorbeeld dat je vroeger m.b.v. portsentry je computer zo instelde dat je een aanvaller tegen-aanviel, zodat je de scriptkiddie kietelde om nog beter zijn best te gaan doen jou te hacken.

Als security specialist ben ik ZELF al eens in een simpele "hack" getrapt. Ik had net mijn server/werkstation thuis opnieuw geinstalleerd en ging naar een normale website. Daar was een venster waarin stond dat ik de Flash player nog niet geinstalleerd had. Dus klikte ik op dat venster om 'm te installeren maar op hetzelfde moment dacht ik: die had ik toch al geinstalleerd? En prompt werd "die andere browser" gestart en werd ik getracteerd op zeer veel ranzige sites.

[Reactie gewijzigd door musiman op 5 juli 2011 11:04]

Dit is inderdaad vragen om "getest" te worden. Voor een security officer vind ik dit dan ook een hele slechte zet.
En je denkt ook dat deze meneer dat niet doorheeft? Het is een topman, die begrijpt echt wel wat voor consequenties dergelijke publieke uitspraken hebben. Wat dat betreft acht ik het zelfs mogelijk dat hier meer achter zit, een samenwerking met de FBI bijvoorbeeld. Data over de aanvallen kan zeer waardevol zijn, en als er een netwerk is dat een dergelijke aanval kan weerstaan dan is dat de perfecte honeypot.

[Reactie gewijzigd door .oisyn op 5 juli 2011 15:03]

Dat was inderdaad ook exact mijn gedachtengang. Helemaal met FTTH en de verbindingen die men hierdoor tot zijn beschikking heeft kan ik me niet voorstellen dat je met zekerheid aan kan geven dat je veilig bent.

Waar DDoSsen vroeger alleen effectief kon zijn door een heel botnet tot je beschikking te hebben kan men nu met een aardig simpel netwerk toch een aardige stoot aan requests versturen. Met een aantal standaard fibre aansluitingen is tegenwoordig toch al een aardig netwerk plat te leggen, kan je nagaan wat een botnet aan schade aan kan richten.

Ik vraag me af in hoeverre datacenters in deze tijden kunnen anticiperen op deze verschuiving van bandwidth.. Waar dergelijke verbindingen in het verleden vroeger vooral richting de deuren van datacenters gelegd werden is het nu toch wel gemeengoed..
Als het echter van een enkele verbinding af komt dan kan de ISP ook in grijpen. Deze analyseren ook het netwerk verkeer en kunnen actie ondernemen wanneer ze vermoeden dat er iets niet pluis is.
Als je maar 1 verbinding gebruikt is het geen DDOS, wat immers DISTRIBUTED Denial of Service is. Daarom worden er ook botnets voor ingezet, die staan keurig verspreid, waardoor de aanval van alle kanten komt, en je niet met 1 of 2 drukken op de knop de daders selectief uitschakelt.
Zowieso zal een goed bot netwerk niet verbonden zijn met een pc van de maker van het botnetwerk waardoor die dus onvindbaar zal blijven ;)
Waarschijnlijk is microsoft zo ongeveer de meest aangevallen website in de geschiedenis en zijn ze door schade en schande wijs geworden.
Toch kan ik me niet herinneren dat Microsoft ooit major outages gehad hebben door aanvallen op hun site. Dus qua schade wen schande zal het wel meegevallen zijjn.
op hun site niet echt, op hun diensten wel uitgerekend MS spreekt hier uit ervaring:

toen ze hotmail overnamen draaiden de hotmail servers op Unix op zich dus zeer veilig tot je ze een hele tijd niet update omdat je er weinig kaas van gegeten hebt en ze gehacked werden --> daarna gemigreerd naar windows servers.

de broncode van windows 2000 is ooit voor 3/4 gejat en op internet gezet door een hack.

windows update en hotmail zijn vaak geddossed.

daarnaast zijn hun linux pc's pas nog gehacked (die waren wel voor ontwikkel doel einden maar toch)

de uispraak is leuk omdat er pas nog een groep hackers waren die beweerden dat het onmogelijk was om je goed tegen een ddosl aanval te wapenen! ook met redirecting niet.

overigens MS heeft ook linux servers en pc's voor ontwikkeldoeleinden en om te testen. ;)

ook stuurt MS wel eens patches in voor linux en meld bugs.

ze zijn allang niet meer zo evil als vroeger. ;)

[Reactie gewijzigd door rob12424 op 5 juli 2011 22:56]

Volgens mij was dat een akkefietje jaaren terug. Waarbij de update servers van MS niet op linux gingen draaien, maar zij capaciteit bij akamai inkochten, waardoor bepaalde functionaliteit van het netwerk op linux servers draaide. Als ik mij niet vergis hadden ze hun eigen servers echt niet op linux draaiende dus.
Volgens mij heeft Microsoft een uitwijk naar Akamai, zoals vele grote bedrijven. En die zullen een deel Linux hebben.
Zo zal een aanval op Microsoft gewoon in load verdeeld worden richting Akamai e.d..

Edit: Spuit11; Garagaholic verdient alle eer! _/-\o_

[Reactie gewijzigd door THX op 5 juli 2011 13:34]

Is dat nou nodig, MS met een $ spellen?
Ja, om dat het extreem de commercie bedrijft. Niet vreemd natuurlijk, want dat hoort zo, maar sommige mensen willen hun ongunst laten blijken en doen dat op die manier.
Het bedrijft extreem de commercie? Wat is er extremer bij Microsoft, dan bij bijv. Philips? Want ik zie nooit iemand Philip$ schrijven..
[...]


Het bedrijft extreem de commercie? Wat is er extremer bij Microsoft, dan bij bijv. Philips? Want ik zie nooit iemand Philip$ schrijven..
Inderdaad Apple is nog commercieler dan Micro Soft
Wauw, wat kinderachtig. Je leeft echt in een illusie als je denkt dat MS iets anders doet dan alle andere bedrijven.
Dooddoener in een discussie, maar kom es met een bron om deze opmerking te onderbouwen?
Veel aangevallen is 1 ding, maar zo'n statement maken is toch best wel gevaarlijk - helemaal tegenwoordig.

Laatste keer dat ik een instelling zoiets hoorde roepen was in 2007 vanuit Australie. Een of ander $84 miljoen kostend project dat toen binnen 30minuten na het uitrollen gehacked was door een tiener.

Nu heb je alleen dingen als Anonymous en Lulzsec die nu maar al te graag zo'n uitdaging aan zullen gaan. Vraag me af hoe lang het duurt voordat microsoft down gaat...
Dat valt dus erg mee en juist Microsoft weet beter. Het is met hedendaagse technieken goed mogelijk om de gevolgen van een erg grote DDOS aanval te mitigeren. Door servers op meerdere geografisch diverse locaties dezelfde website te laten hosten en hardware matige ddos preventie in je netwerk.

Roepen dat ze er "immuun" voor zijn is simpelweg niet waar maar ze zullen ongetwijfeld niet op zwart gaan als één of meerdere van hun clusters worden aangevallen. Gebruikers worden gereroute naar andere clusters die niet worden aangevallen.
Nou, dan ben je er toch immuun voor? Immuniteit betekent in mijn ogen ook dat je een aanval succesvol af kunt slaan.

Als gebruikers dus niets merken tijdens een aanval en je de aanval succesvol afslaat, ben je wat mij betreft goed beter.

Evenwel vind ik het toch een gewaagde uitspraak ;).
Zullen we binnenkort wel zien of MS down gaat. Maar ze zullen door de jaren door veel ervaring hebben opgedaan in dit soort zaken dus wie weet.
hoe noemde dit project dan? Ben nogal nieuwsgierig
Om eerlijk te zijn heeft Microsoft voor zo ver ik weet nog nooit een outage gehad op hun site en ik neem aan dat er aardig wat mensen pogingen ondernomen hebben (ook DDoS aanvallen natuurlijk).

Ik vermoed dat Microsoft dat net als bijvoorbeeld Google servers over de hele wereld heeft staan simpel weg zo veel bandbreedte heeft dat het zich geen zorgen maakt over DDoS aanvallen, en mochten deze toch plaats vinden dan zullen ze vast en zeker de hosts die de meeste overlast veroorzaken al snel en waarschijnlijk geheel automatish blokeren.
Wat hacken betreft het is Microsoft toch al meer dan eens gebeurd dat mensen toegang hebben weten te krijgen tot het interne netwek (veel interesanter dan de website ;) ) en er is zelfs meer dan eens source code gestolen. Maar tot op heden bleek dat voor zo ver bekend altijd gebeurt te zijn door dat iemand bewust gegevens aan externe partijen heeft door gegeven.

Je kunt zeggen wat je wil maar Microsoft heeft de beveiliging van de iegen systemen goed op oorde. Het is alleen jammer dat de beveiliging van het OS (ondanks dat het in rap tempo verbeterd wordt) nog al eens wat minder goed geregeld is.
Dit is in mijn ogen gewoon een uitnodiging aan LulzSec of hoe het nu ook heet, om het eens bij Microsoft te proberen. Ik ben zeker geen expert, maar ik weet wel dat dat de jongens van LulzSec aardig handig zijn. Het zou me niet verbazen als Microsoft binnenkort wordt gehackt.
misschien wil microsoft meer te weten komen over hacks, misschien is het zelfs een val? :D Zou dat mogelijk zijn?

Daarnaast is het een vorm van commercie. Nu denk iedereen "oh wow dat microsoft dat durft". Vervolgens blijven aanvallen uit (hopen ze) en dan heeft MS weer een wat positiever beveiligings-imago.

[Reactie gewijzigd door Menesis op 5 juli 2011 13:14]

misschien wil microsoft meer te weten komen over hacks, misschien is het zelfs een val? :D Zou dat mogelijk zijn?

Daarnaast is het een vorm van commercie. Nu denk iedereen "oh wow dat microsoft dat durft". Vervolgens blijven aanvallen uit (hopen ze) en dan heeft MS weer een wat positiever beveiligings-imago.
Dat zal de rechter weer werk schelen als dit als uitlokker gebruikt werdt
Ik hoop dat die kinders van Lulsec :( opgepakt worden en de te toegang tot het net word ontnomen en een hele grote boeten gaan betalen met name hun excuses voor het teisteren van grootse bedrijven . ze zijn een beton blok aan het been voor alle bedrijven, nu moeten bedrijven investeren in onnodige security hard en software, ze kunnen dat geld beter investeren om het eindproduct zo foutloos en functioneel mogelijk te maken ipv van het als een Kluis dicht te timmeren. tuurlijk wil ik dat mijn gegevens veilig zijn maar op deze manier word niemand er beter van.

On topic
ik hoop wel voor microsoft dat ze het ook daadwerkelijk kunnen bij benen indien er iets mocht gebeuren.
het zou erg vervelend zijn als er een Ddos aanval word gepleegd op de servers en ze het niet overleven, en info gaan lekken.
Ja, want veiligheid heb je niet nodig als niemand zou hacken....dus overbodig toch?
Fout, mensen blijven mensen. Er zullen ALTIJD mensen zijn met slechte bedoelingen.....wat dat betreft zijn lulsec en anonymous nog niet eens de ergste.

Beveiliging is essentieel, helaas beseft niet elk bedrijf dat.......en tja, dan word je wel eens op de vingers getikt door een paar pubers........echte criminelen gaan er gewoon vandoor met je geld/data/wat dan ook en melden niets....dat is nog véél erger.
Tuurlijk is beveiliging belangrijk, maar er zijn gradaties.

OK, je moet je deur niet laten open staan. Maar een gewoon slot hebben de meeste inbrekers zo open. Hoever moet je gaan?
Je moet kijken wat je in huis hebt, en dan kijken wat het je waard is om het te houden.
Inbreken (de fysieke variant) is naast ongemakkelijk voor jezelf een maatschappelijk probleem. Omdat het voor de meesten onder ons onmogelijk (en vaak al helemaal onwenselijk) is om het woonhuis tot een fort om te toveren, moet er vanuit de maatschappij iets gedaan worden. Dit doen we door bepaalde zaken strafbaar te stellen, waardoor het stelen van andermans eigendommen minder aantrekkelijk wordt.

In die context is de opmerking dat veiligheid (van je eigendommen) niet boven alles gaat goed te rechtvaardigen. Ten eerste is het veel te duur om puur voor jouw specifieke situatie zoveel beveiliging te bouwen. Ten tweede nemen al die beveiligingsmaatregelen iets weg; gebruiksgemak. Het is namelijk veel makkelijker om gewoon je eigen voordeur open te duwen om binnen te komen, dan het invoeren van een 12 cijferige code en het openen van 4 sloten dat is. En dan hebben we het nog niet eens over die 10000kg wegende stalen deur :P.

Het is dan, m.i., ook zaak om meer aandacht te besteden aan opsporing en vervolging van de criminelen. Zorg ervoor dat je wereldwijd een redelijk hoog oplospercentage hebt bij dit soort zaken en je zult zien dat er na verloop van tijd al stukken minder 17 jarigen op de zolder van papa en mama het PSN netwerk gaan proberen te hacken. De échte criminelen hou je altijd over, daar doe je helaas niets aan. Overigens heb je dan ook nog (wereldwijde) wetgeving nodig, maar zover ik weet zijn er maar weinig landen die én veel hackers herbergen én geen wetten hebben m.b.t. cybercriminaliteit.

Naast dat soort aandacht is het natuurlijk zaak om je eigendommen te beschermen. Zoals je zei is dat een kosten/baten analyse. Maar het mag natuurlijk niet zo zijn dat, zoals hier wel vaak wordt geroepen, de verantwoordelijkheid van het gehackt worden volledig bij de gehackte komt te liggen.
Onnodige security? Waar heb je het over?
Hij bedoelt (denk ik), dat als er geen dieven waren, je geen sloten nodig hebt.

@Silver Wolf III
Sure, Lulzsec is de enige club die hackt (*sarcasme*)
Als zij het niet zouden doen, zouden anderen het doen. Dit is geen vrijgeleide voor hen, maar security is nooit onnodig!

Trouwens; 5GB/s, dat redt je met een grote DDOS wel, zeker als een universiteitsnetwerk erbij kan betrekken, of een groepje servers met lekkere snelheden kan ritselen (aka; cracken).
ik noem Lulsec om dat die naam veel in het nieuws komt

Hij bedoelt (denk ik), dat als er geen dieven waren, je geen sloten nodig hebt.
Dat is in grote lijnen correct, als je minder inbrekers hebt dan kan je wat rustiger het leven door maar je moet wel alert blijven op inbrekers dus niet je sloten weg halen maar je kan wel besparen op je sloten zolang ze maar doen wat ze moeten doen.

Onnodige security? Waar heb je het over?

en nee ik bedoel niet dat security niet nodig is maar om iets 100% te beveiligen is gewoon een onmogelijke klus, en dus ook een bodemloze put om geld in te gooien er moeten wel grenzen gelegd kunnen worden, als je tuis een slot op je duur hebt een stalen hek voor de duur een ir scaner in de achtertuin en drie duitse herders hebt rond lopen dan voel je veilig ja maar je kan het ook af met een slot op de duur en 3 Duitse herders, das wat ik bedoelde duidelijk te maken. Sorry als ik het verkeer geformuleerd heb.
waauw, het is moeilijk je tekst hier serieus te nemen met zulke sgreifvauten
maar goed, security is niets absoluut. Mensen moeten eens ophouden met dat zo te zien.
Beveiliging (op alle gebied) werkt in drempels. Je kan het enkel MOEILIJKER maken. Je beveiliging wordt ook aangepast aan de behoefte. Zo is de deur naar mijn tuinhuis veel minder belangrijk dan mijn achterdeur. De deur van een winkel belangrijker dan mijn achterdeur en de deur van een bankkluis nog belangrijker.

Dus er moet gewoon "genoeg" geinvesteerd worden in veiligheid omdat er altijd dieven zullen zijn, je kan ze dus enkel "ambeteren" door het moeilijker te maken. Absolute veiligheid is ONMOGELIJK

dus zanik niet over "de bodemloze put"... de betreffende bedrijven hebben NIET genoeg geinvesteerd in beveiliging, ze dachten "genoeg" gedaan te hebben... en nu hebben ze geleerd dat dat niet zo is.

ivm je ir scanner (ik veronderstel dat je iris scanner bedoelt?) en 3 duitse herders in de achtertuin, stalen hek... om maar even "in te breken": een snijbrander op het hek, vergif voor de honden en hamertje op je zijruit en ik ben binnen...
see what i mean?
byebye security!
Zolang jij geen gegevens van miljoenen mensen in een unencrypted database hebt, hoef je inderdaad niet te gaan voor een 100% beveiliging.

Doe je dit wel (en met een flinke winst ook nog), dan mag je best investeren in de beveiliging van andermans gegevens.

Zeg nou zelf, je kunt een 3e partij toch niet vergelijken met beveiliging van je eigen huis!
Ik vind het vooral belangrijk dat dr geen hacks voorkomen doordat software op oude versies draait. De hacks die je in de media ziet zijn vaak (zoals deze heer zegt) beginners fouten. Dit heeft dus weinig met beveiliging te maken. Ik zie het alsof ze een slot op hun deur hebben gezet maar het raam dr vlak naast open hebben gelaten (zodat je vanuit daar de deur van slot kan doen.)

Dus je moet niet onbeperkt geld in een donker hoekje gooien om je beveiliging op pijl te houden, je moet gewoon ervoor zorgen dat je de beveiliging hebt die voldoet aan jou eisen. Als professionele site mag het bijv niet voorkomen dat je een SQLi kan doen...
als je tuis een slot op je duur hebt een stalen hek voor de duur een ir scaner in de achtertuin en drie duitse herders hebt rond lopen dan voel je veilig ja maar je kan het ook af met een slot op de duur en 3 Duitse herders, das wat ik bedoelde duidelijk te maken. Sorry als ik het verkeer geformuleerd heb.
Ik ben geen veiligheidsexpert, maar mijn filosofie over dit soort dingen is dat ik liever geen dure schilderijen in mijn huis heb hangen dan een groot en duur slot op mn deur. ;)

Ik weet het, dit is voor websites van grote bedrijven natuurlijk erg moeilijk gezien zij gewoon bovenop een grote berg waardevolle informatie zitten. Zijn er eigenlijk geen mogelijkheden om ervoor te zorgen dat "wanneer je eenmaal binnen bent" er gewoon niet zoveel te jatten is. Ik denk dan een beetje aan van die geldkoffertjes waar verfcomponenten in zitten die ontploffen en waarvan alle biljetten zijn gemerkt. Zonder iets aan de beveiliging te doen is de inhoud ineens een stuk minder interessant geworden.

Wederom, ik ben geen expert, maar ik noem maar iets; compleet gedecentraliseerde informatievoorziening, alles versleuteld, extreem veel bogusinfo ertussen..

Of praat ik nou onzin..? 8)7 :)

[Reactie gewijzigd door kramer65 op 5 juli 2011 13:31]

Als het leven eerlijk zou zijn voor iedereen, zou niemand hoeven te stelen...


helaas is alles oneerlijk verdeeld, en zijn er dus mensen die stelen...


utopia bestaat niet op onze planeet en beveiliging is nodig..
@bogy:
Je doet nu alsof alleen de 'armen' stelen, juist de rijken kunnen veel stelen. Zelfs als het leven eerlijk zou zijn voor iedereen zouden er toch altijd mensen zijn die 'stelen' al zou het alleen maar voor de thril zijn of dat ze meer willen dan anderen.
@bogy:
Je doet nu alsof alleen de 'armen' stelen, juist de rijken kunnen veel stelen.
Banken "crisis" anyone?

Alleen heet het daar anders en noemen wij hen zakkenvullers.
Maar in principe blijft het gewoon diefstal/oplichting.
ik noem Lulsec om dat die naam veel in het nieuws komt

Hij bedoelt (denk ik), dat als er geen dieven waren, je geen sloten nodig hebt.
Dat is in grote lijnen correct, als je minder inbrekers hebt dan kan je wat rustiger het leven door maar je moet wel alert blijven op inbrekers dus niet je sloten weg halen maar je kan wel besparen op je sloten zolang ze maar doen wat ze moeten doen.

Onnodige security? Waar heb je het over?

en nee ik bedoel niet dat security niet nodig is maar om iets 100% te beveiligen is gewoon een onmogelijke klus, en dus ook een bodemloze put om geld in te gooien er moeten wel grenzen gelegd kunnen worden, als je tuis een slot op je duur hebt een stalen hek voor de duur een ir scaner in de achtertuin en drie duitse herders hebt rond lopen dan voel je veilig ja maar je kan het ook af met een slot op de duur en 3 Duitse herders, das wat ik bedoelde duidelijk te maken. Sorry als ik het verkeer geformuleerd heb.
Voorkwam, LulzSec bestaat toch al niet meer
Door damnyankee, dinsdag 5 juli 2011 11:31:
Trouwens; 5GB/s, dat redt je met een grote DDOS wel ...
Je bedoelt 5 Gb/s neem ik aan. :)
Artikel:
De servers van Microsoft zouden aanvallen tot vijf gigabit aan traffic per seconde kunnen weerstaan en daarboven zou het bedrijf maatregelen treffen om malafide hosts te blokkeren.
Samenwerken met FBI en klaar staan om bij komende aanvallen direkt te proberen te achterhalen wie er achter zit?
Dat is juist het punt he, als zo'n aanval goed geregeld is kan dat niet. Je hebt zogenaamde blackhole adressen die dan gebruikt worden, waardoor je de afzender niet meer live kan achterhalen. Als je dan gaat tunnelen naar een shell, via proxy's of andere methodes (en ja, er zijn er veel), en vanaf daar je zware servers en verbindingen bestuurt kom je toch vrij dicht in de buurt van 'onvindbaarheid'.
Ach, het is gewoon weer ouderwets moddergooien c.q. zout in open wonden strooien. Alsof Microsoft nog nooit de dupe is geworden van hackers. Iedere Windows-versie is gehackt en hun consoles ook stuk voor stuk.

Wellicht dat X-BLA beter beveiligd is, maar de realiteit is dat iedere beveiliging uiteindelijk wel te kraken is. Waar mensen werken worden fouten gemaakt en daar spelen hackers simpelweg op in.

Daarvoor heeft Microsoft gigantisch veel problemen en de nodige revisies gekost om de XBox360 kwalitatief op hetzelfde niveau te krijgen als de Playstation 3 (ik heb het nu over hardwarematige degelijkheid-). Waarmee ik maar wil zeggen dat iedere fabrikant wel z'n problemen heeft gehad in het verleden.
Het is niet alsof Microsoft nooit beveiligingsproblemen heeft maar een SQL injectie is wel heel erg basic en dat heb ik nog niet voorbij zien komen bij Microsoft.
Het is inderdaad een gevaarlijke uitspraak voor veel bedrijven. Maar voor Microsoft zal het niet zo heel veel uitmaken, die worden toch al continu gescand op beveiligingslekken.

Verder is het natuurlijk altijd leuk om zulke uitspraken te doen over anderen. Nieuwssites nemen het graag over dus het is gratis reclame. Ik dacht trouwens dat Microsoft ook een of andere clusterdienst afnam voor ddosproof-hosting? Misschien dat ze het tegenwoordig wel zelf doen, Als Google het kan .... :p
ofwel dit is natuurlijk een uitnodiging voor de aantallen hackers groep(jes)en die er nu rond gaan.
om hier eens goed op te gaan hammeren

lijkt een beetje uitlokken dit en aardige groot praat
Microsoft is natuurlijk ook al jaren bezig met het oprollen van botnets en het proberen dwars te zitten van hackers. Ze hebben veel "honeypot" acties gehad en dit zou wel eens een grote actie kunnen zijn om veel informatie te verzamelen. Ze kunnen op deze manier wellicht een groot botnet in kaart brengen als dat gebruikt wordt voor een DDOS aanval.
Klinkt als een mogelijk strakke actie van MS. Honeypot met unieke informatie (vanwege de uitgelokte aanval die volgt op deze uitspraak), dit gebruiken voor hun Forefront antivirus / anti-trojan tools. Botnet in kaart brengen en dan vermelden welke virusscanners van concurrenten deze PC's allemaal draaiden. Dat terwijl Forefront deze machines beschermd zou hebben.....

Nu alleen nog een mogelijke DDOS aanval overleven, maar dat moet lukken wanneer je 5gbit als target af geeft en hier in de EU in ieder geval al met zo'n 80gbit op de AMS IX zit.
https://my.ams-ix.net/members/336
ofwel dit is natuurlijk een uitnodiging voor de aantallen hackers groep(jes)en die er nu rond gaan.
om hier eens goed op te gaan hammeren

lijkt een beetje uitlokken dit en aardige groot praat
Ja, die hadden natuurlijk nog nooit gedacht om dat eens te proberen? Get real.
Waarom roepen mensen meteen dat dit een uitdaging is naar de hackers-community?

Ze zijn er gewoon trots op dat ze na al deze jaren hun beveiliging op orde hebben.
Dat is het enige dat ze aangeven en wijzen er tevens op dat recent gehackte sites/netwerken hun zaakjes niet op orde hadden.

En ik snap het geromantiseerde beeld van de gegevens jattende hacker niet.
Deze gasten overtreden de wet door een beveiliging te kraken, ze plegen diefstal door ook nog eens gegeven te stelen.
En soms als klap op de vuurpijl verkopen ze deze gegevens of gebruiken het zelf om er beter van te worden.

Als er hackers/crackers zijn die dit doen om alleen maar aan te tonen dat het kan en vervolgens het bedrijf op de hoogte stellen. En verder geen blijvende schade aanrichten kan ik het met voorstellen...Die hebben meer een missie op anderen op gebreken te wijzen en natuurlijk om te kijken of het lukt.
Deze mensen kan ik nog enigzins waarderen.

Maar als er sites worden neergelegd omdat ze een andere (vrije) mening hebben ten op zichte van bijvoorbeeld Wikileaks, dan ben je zelf wel heel erg voor de vrijheid van meningsuiting.
(lees anonimous...of hoe de spelling ook is)
Ze zijn er gewoon trots op dat ze na al deze jaren hun beveiliging op orde hebben.
Dat is het enige dat ze aangeven en wijzen er tevens op dat recent gehackte sites/netwerken hun zaakjes niet op orde hadden.
Je kunt de procedures op orde hebben, de beveiliging zul je nooit op orde hebben. Er zullen altijd exploits in de software zitten en de sociale factor zul je ook altijd hebben.

En als ik dit lees:
"At Microsoft we have robust mechanisms to ensure we don't have unpatched servers. We have training for staff so they know how to be secure and be wise to social engineering."
Microsoft met patch Tuesday en openstaande fixes. Dan hebben ze ook niet alles gepatched voor jonge exploits.

IMO bluft deze man veel te veel, als je iets vaak zegt ja je er ook in geloven.

[Reactie gewijzigd door worldcitizen op 5 juli 2011 11:36]

Microsoft met patch Tuesday en openstaande fixes. Dan hebben ze ook niet alles gepatched voor jonge exploits.
Dat weet je niet. Misschien kan iemand hier van Microsoft vertellen of patch Tuesday ook voor Microsofts interne servers geldt, of alleen voor de buitenwereld.
Ach bij de bedrijven van dit formaat is het niet een kwestie of ze gehacked worden maar wannneer ze gehacked worden
Dan kun je het wel hebben over uitlokking maar hoge bomen vangen nou eenmaal veel wind.

Ik heb zelf nog een recente ervaring waar ik op een lek gestuit was, gemeld, maar ze doen er geen ruk mee.
Dit roepen mensen omdat dit mens eigen is.
Iemand zegt mijn beveiliging kan niet gekraakt worden, dus zal een hacker zoiets hebben van. Nou, dat zullen we nog weleens zien.

Weet nog wel dat er ooit ergens (dacht in tilburg) een kunstwerk was neergezet met het motto "Volledig bestand tegen vandalisme, onverwoestbaar". Nou, binnen een week was het kapot.

Het is absoluut niet slim om zoiets te zeggen. Dat zou een beveiligingstopman toch moeten weten, dat voorkomen beter dan genezen is...
Het zou me niks verbazen als hij met deze uitspraken van Microsoft een groot doelwit heeft gemaakt voor hackers.
Het zou me niks verbazen als hij met deze uitspraken van Microsoft een groot doelwit heeft gemaakt voor hackers.
of ze zijn al eens langs geweest maar niet doorheen gekomen, al had ik dan verwacht dat MS bewijs oid toont
Ik denk dat Microsoft zowel met of zonder deze uitspraak al wel een van de meest aangevallen 'doelwitten' is hoor.
dat heeft hij inderdaad gedaan, maar dat snapt die beste man zelf ook wel dus hij zal er goed over nagedacht hebben.. en ik neem aan dat die wel meent wat ie zegt over dat ze immuun zijn voor DDOS want geheid dat er binnen nu en 2 weken een paar DDOS aanvallen zullen komen op MS
Misschien heeft de beste meneer gelijk en een goed punt, toch vind ik de bewoording niet echt sympathiek overkomen en niet geheel goed gekozen.
aangezien het een vertaling is, kan het zijn dat de engelse versie een stuk vriendelijker klinkt dan wij nu lezen.

Neemt niet weg dat er twee bedrijven op de vingers worden getikt door deze man,
De woorden zijn eigenlijk juist heel erg goed gekozen juist. Microsoft krijgt altijd kritiek dat hun systemen niet veilig zijn.

RSA is een bedrijf dat gespecialiseerd is in beveiliging. Het feit dat het RSA mbv social enginering zo gemakkelijk te hacken is dat men zelfs het algoritme voor de SecurID tokens kunnen meenemen. En je zou toch verwachten dat een van de meeste belangrijke producten van RSA goed opgeborgen ligt.. En social enginering mbv zeer mooie vrouwen is een zeer beproefd wapen.

Sony en Playstation zijn natuurlijk gewoon concurrenten van Microsoft en Sony heeft ook niet altijd even netjes gereageerd op de problemen van de XBox.
Rode vlag hier zeg maar.

Heel veel grote hacks en hackeraanvallen zijn succesvol omdat ze 'de zwakste schakel' zoeken en dat is heel vaak gewoon een mens. Iemand die toch die e-mail wilt zien waarin een collega toch dat onverwachtte mailtje van een vriend/vriendin wil inzien waarin schijnbaar genante foto's staan.
Voorspelbare wachtwoorden en inlognamen, poorten tijdelijk opgezet voor een torrent of game-client door mensen met iets te veel rechten.

Dat Sony en RSA eraan ten prooi vallen is dan ook niet verwonderlijk maar dan nog is het geen excuus voor een falende beveiliging.

Ik verwacht dat MS binnenkort een DDOS stresstest gaat krijgen.

[Reactie gewijzigd door Auredium op 5 juli 2011 11:06]

Uiteindelijk denk ik dat niemand er "immuun" voor is. Je hebt altijd een menselijke factor aanwezig en dat is bij elk bedrijf zo.

Microsoft software is ook niet vrij van software bugs en dus van het moment dat iemand een exploit vind die niet gepubliceerd is dan loop je terug een potentieel risico.
Ik vind het een behoorlijk arrogante houding wat deze man nu heeft, net alsof Sony en RSA niks zouden zoen om zich te beveiligen of hier een paar eerste jaar stagiaires op zetten. Fouten maken gebeurt altijd, en door dit soort aanvallen wordt alleen maar beperkt. Ik zou er niet van opkijken als Microsoft gelijke fouten heeft in sommige systemen en hier binnenkort via the hard way achter gaat komen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True