Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties
Submitter: 80466

De websites Linuxfoundation.org, Linux.com en alle subdomeinen zijn vanwege een beveiligingslek per direct op zwart gezet. Het is de tweede keer in korte tijd dat de websites van de Linux-gemeenschap kwetsbaar blijken voor aanvallen.

De Linux Foundation vermoedt dat het lek dat in de afgelopen week is gevonden, in verband staat met het onlangs gekraakte Kernel.org. Hackers kregen toen op ten minste één server root-toegang, die gebruikt werd voor het verspreiden van de Linux-kernel. De broncode zou daarbij niet aangepast zijn. Wel werden bestanden van openssh gewijzigd en was er een trojan geïnstalleerd. Daarnaast werden alle interacties met gebruikers gelogd.

Uit angst voor nieuwe aanvallen, heeft de Linux Foundation na de vondst in alle haast LinuxFoundation.org, Linux.com en alle subdomeinen offline gehaald. "We zijn extreem voorzichtig en nemen het lek serieus. Momenteel onderzoeken we alle systemen", schrijft de organisatie op haar website. Hoewel details over het lek ontbreken, zouden essentiële onderdelen, waaronder de kernel, niet aangetast zijn.

De Linux Foundation vond het lek op 8 september. Kwaadwillenden konden eerder wellicht talloze wachtwoorden stelen. Het is niet bekend of dat ook is gebeurd. Wel raadt de gemeenschap gebruikers af om hetzelfde wachtwoord te gebruiken voor andere websites.

Moderatie-faq Wijzig weergave

Reacties (62)

Wel raadt de gemeenschap gebruikers af om hetzelfde wachtwoord te gebruiken voor andere websites.
Tjah, dat zegt iedereen, maar hoeveel mensen doen het in de praktijk?
Voor je bankieren, server(s), modems etc wellicht wel, maar de inlog voor fora? Dan gaat de klad er vaak al in.

Het wordt zo langzamerhand vrijwel onmogelijk om een server in de lucht te houden met al deze hacks. Wordt dit het einde van het internet?
Ik heb voor iedere website toch een ander wachtwoord
Gewoon de befaamde xkcd wachtwoord theorie toepassen: http://xkcd.com/936/

Ze hebben zelfs een password generator ervoor: http://passphra.se/ :)

maar goed, jammer dat er weer exploits gevonden moeten worden met alle narigheid die daar bij komt kijken (trojans en dat soort ongein).
Ik vind wel dat ze het goed aanpakken bij Linux, tenminste niet zo als bij diginotar :9
Ik vindt het ook helemaal niet zo'n goed advies om verschillende wachtwoorden te gebruiken. In theorie klinkt het leuk, maar niemand kan zoveel wachtwoorden onthouden.

Dan krijg je dus vanzelf dat:
- de wachtwoorden hetzelfde zijn, met een nummer, of deel van de website naam.
- men de wachtwoorden ergens gaat opschrijven.

Het eerste systeem levert geen extra veiligheid op... het tweede geval is zelfs veel minder veilig.

Een standaard wachtwoord voor algemene websites zonder gevoelige informatie, en dan alleen voor bankzaken een speciaal wachtwoord, is veel werkbaarder, en werkt net zo effectief.
Daarom gebruik ik ook lastpass. Ik heb dat 'eenvoudige' wachtwoord al 10 jaar lang niet aangepast, domweg omdat ik moeilijk alle webshops&co kan afgaan om mijn wachtwoord te veranderen. Als zo'n website vervolgens je 1e wachtwoord niet slikt, probeer je voor de zekerheid maar die andere... Het effect van zo'n schema is dat iedere beheerder van een webshop o.i.d. op fora waar ik datzelfde simpele wachtwoord heb gebruikt kan inloggen. Gelukkig is me dat nog nooit overkomen, maar toen ik me de risico's realiseerde ben ik lastpass met gegenereerde passwords gaan gebruiken.
Ik heb even gekeken wat Lastpass precies is, omdat ik er wel nieuwsgierig naar was. Wat ik me afvraag is wat er gebeurt als iemand je telefoon of laptop of iets dergelijks steelt. Dan kunnen ze toch ook gewoon inloggen op alle websites waar jij inlogt met Lastpass? Ik bedoel, de meeste mensen hebben gewoon een Windows wachtwoord op hun laptop en that's it. Die kan je zo kraken met een 1 of ander Linux-cd'tje. Dan kan je op de laptop en kan je op elke website inloggen lijkt mij? Of zie ik hier iets over het hoofd?

Mij lijkt http://www.passwordcard.org/nl wat Dooxed hierboven aangeeft een stuk beter, want als je kaartje dan gejat wordt, dan kan je nog direct al je wachtwoorden veranderen. In die tijd kunnen ze nooit raden welk wachtwoord bij welke website hoort. En Keepass zoals Xenan hieronder aangeeft helemaal 'veilig' want dat is lokaal gencrypt en dat is niet zoals het windows wachtwoord zomaar te kraken.

[Reactie gewijzigd door Crazy JoJo op 12 september 2011 11:22]

Even al je wachtwoorden vervangen is niet zo simpel. Ik gebruik zelf al een tijdje LastPass en ik ben meer dan een dag bezig geweest om overal mijn wachtwoord te wijzigen (en dan had in LastPass een overzicht van al die sites, want ik betwijfel of ik ooit van al die sites zou geweten hebben dat ik er een account had).

LastPass is best veilig. Je moet op je eigen computers natuurlijk de afweging maken hoe veilig je alles wilt houden. Het hoofdwachtwoord laat je bv. best niet opslaan in je browser, maar zelfs als je dat zou doen, kan je via LastPass ook enkele mogelijkheden hebben om multi-factor authentication toe te passen. Ofwel met een van hun eigen systemen (Sesame en een password grid wat ook gewoon een kaartje is met random tekens op) ofwel met een Yubikey. Als je computer gestolen wordt, moet de dief alsnog je hoofdwachtwoord weten (of je moet het laten onthouden hebben) als die dief dan al ingelogd geraakt op je computer. Met multi-factor moet hij daarenboven nog die extra factor hebben en dat is heel wat moeilijker tenzij je die bij je computer bewaart (niet doen dus, behalve als je zowel je computer als die extra factor op je persoon hebt). In mijn ogen is het kort samengevat zo dat als je goede veiligheid wilt, je best naar multi-factor authentication kijkt. Omslachtig is het soms wel, maar de kans dat al die factoren gelijktijdig lekken, is klein. Een gelekte factor kan je dan wl gaan vervangen door een nieuwe factor zodat een dief met n factor in handen toch niet aan de gegevens kan.

Idem met smartphone: daarop laat je dan ook nooit het hoofdwachtwoord ingevuld staan.

Als je het nog wat veiliger wilt maken, moet je natuurlijk gewoon je partities laten versleutelen. Je krijgt maar iets zo veilig als je ervoor gebruiksgemak wilt opgeven. Toegegeven: alternatieven zoals KeePass zijn misschien betrouwbaarder dan LastPass in de zin dat je zelf volledige controle over de keten hebt: je kan zelf bepalen waar je dat alles opslaat. Met LastPass moet je erop vertrouwen dat die servers veilig zijn en in het verleden is wel al gebleken dat ze hackers op bezoek gehad hebben (voor de rest best veilig als het klopt dat alles versleuteld opgeslagen staat).

Dergelijke wachtwoordkaartjes zijn natuurlijk beter dan niets, maar ze geven nog steeds wachtwoorden met beperkte entropie. Je hebt dan 29 wachtwoorden voor al die sites, stel dat die kaart op een of andere manier afgeluisterd geraakt (bv. iemand kijkt over je schouder mee en onthoudt het nummertje dat onderop staat), dan heeft die aanvaller een kans van 1/29 dat hij binnengeraakt. Het opnieuw laten maken van die kaartjes is bovendien een gevaarlijke feature: kaart verloren wilt zeggen dat je een nieuwe kaart moet maken, niet de verloren kaart laten reactiveren (en dat je bij al je sites kan langsgaan om de wachtwoorden aan te passen).
Op de Passwordcard staan duizenden wachtwoorden, zoals ook uitgelegd op de website:
Uw PasswordCard heeft een uniek patroon van willekeurige letters en cijfers. De rijen hebben verschillende kleuren, de kolommen verschillende symbolen. Het enige dat u hoeft te onthouden is een combinatie van symbool en kleur, en dan leest u vanaf daar de letters en cijfers. Het kan niet simpeler!
Dit komt omdat je een lengte & een richting van aflezen kunt kiezen (+ aantal beginposities). Dit beschermt alleen tegen langzame, menselijke aanvallen, want als je het kaartje hebt zou je makkelijk alle 'duizenden' wachtwoorden kunnen laten genereren en met deze lijst een aanval kunnen doen. Mocht het dan lukken bij n toepassing, dan is niet direct je wachtwoord voor alle andere toeapssingen bekend (want je hebt verschillende wachtwoorden). Natuurlijk is het dan wel mogelijk om dezelfde aanval bij andere services te doen, maar dan moet de aanvaller dus al de kaart in bezit hebben.

Trouwens, ik bedacht me net, als je een beetje creatief bent, lees je je password op een niet-standaard manier af: van boven naar beneden om en om een teken uit 1e en 3e colom. Dat levert een best sterk wachtwoord van 8 tekens op, van meer tekens als je iets beters bedenkt. Op deze manier wordt het ook nog veel moeilijker voor een dief met je card om een list-aanval succesvol uit te voeren :) Moet je wel iets meer nadenken, afhankelijk hoe belangrijk je het vindt.
Natuurlijk kan je daar wel wat creatief mee spelen, maar dan ga je weer naar hetzelfde probleem. Hoe je door dat grid loopt is dan het wachtwoord geworden dat je onthoudt, dus je hebt alsnog 100 wachtwoorden (of eerder patronen) te onthouden. Eigenlijk beschermt zowat alles tegen menselijke aanvallen: zolang je geen "pr0d@dm!n" , bestaande woorden of eenvoudig te raden combinaties gebruikt.

En we weten allebei ook dat mensen als ze een makkelijke manier vinden (dus heel simpel aflezen), die zullen gebruiken en denken "op de site stond dat het veilig was" en zich voor de rest niets aantrekken van wat er verder gebeurt. Als je dus simpelweg aan dat systeem begint, gok ik dat de meeste mensen dan ook vooral die eenvoudige wachtwoorden gaan gebruiken die onderling gecorreleerd zijn.

Een dief heeft trouwens genoeg aan het nummertje onderaan op die kaart om hem na te maken. Laat die kaart dus even onbeschermd achter, de dief neemt dat nummer over en hij kan gewoon je kaart namaken zonder dat je er zelf iets van doorhebt. Dat is dan ook het nadeel van wachtwoorden opschrijven, je wachtwoord staat dan ergens leesbaar tussen. Dat is ook een nadeel dat je kan toeschrijven aan diensten als LastPass, KeePass, ... ware het niet dat die alles gencrypeerd bewaren zodat je met die gegevens nog niet veel bent zonder het bijhorende wachtwoord.
je beveiligt de toegang tot lastpass met een eigen wachtwoord, en als je heel veilig wilt zijn moet je die niet door je browser laten onthouden. Staat helemaal los van login wachtwoorden van je systeem. Het lastpass hoofdwachtwoord moet je extra sterk maken.
Dan moet je grub ook met ww beveiligen en live cd kun je blocken (group 1001 volgens mij) En uit ervaring weet ik dan kom je er niet in! (als je ook schrijfbeveiliging enz. aan is))
Ten eerste is er een bewustzijn nodig, het idee dat het hebben van verschillende wachtwoorden voor verschillende toepassingen belangrijk is. Dat is misschien het enige voordeel van de golf van hacks van de laatste tijd: het wordt genoemd in het algemene nieuws en mensen nemen minder aan dat hun gegevens zomaar veilig zijn.
Ten tweede zijn er oplossingen voor het onthouden van meerdere wachtwoorden, als je het maar wilt en als je het maar voldoende belangrijk vindt. Een voorbeeld voor de 'gewone gebruiker' is de http://www.passwordcard.org/nl: voor het onthouden van meerdere wachtwoorden hoef je in het simpelste geval alleen maar n teken per toepassing te onthouden (hartje = internetbankieren).
Dat is dus gewoon een alternatieve manier van wachtwoord opgeschrijven met alle gevaren van dien.
Ik vindt het ook helemaal niet zo'n goed advies om verschillende wachtwoorden te gebruiken. In theorie klinkt het leuk, maar niemand kan zoveel wachtwoorden onthouden.
Hiervoor kun je Keepass gebruiken. Elke site heeft een eigen wachtwoord, en van de meeste sites weet ik het wachtwoord niet eens, dat houdt Keepass voor me bij.
Hetzelfde hier, Keepass beveiligd met een passphrase. Nog een 3 tal andere zaken beveiligd met passphrases die ik zelf ken. Maar het gros van sites en programmas zijn beveiligd met een 24-karakters password gegenereerd door Keepass. Soms kortere wachtwoorden als de desbetreffende site er een lagere limiet op zet.

Als je Keepass dan nog deftig configureert dan logt hij keepass uit na xx aantal seconden van inactiviteit (keepass of ganse computer). gebruik waardoor je wachtwoorden veer veilig zitten. Gooit hij het gekopieerd wachtwoord uit het clipboard na 10 seconden.
Ik vindt het ook helemaal niet zo'n goed advies om verschillende wachtwoorden te gebruiken. In theorie klinkt het leuk, maar niemand kan zoveel wachtwoorden onthouden.

Dan krijg je dus vanzelf dat:
- de wachtwoorden hetzelfde zijn, met een nummer, of deel van de website naam.
- men de wachtwoorden ergens gaat opschrijven.
En daarom is het juist wel een goed advies om verschillende wachtwoorden te gebruiken.
Een opgeschreven wachtwoord is vaak veiliger dan eenzelfde wachtwoord. Dat opgeschreven wachtwoord is enkel voor de mensen die bij je papiertje kunnen zichtbaar, die andere voor alle hackertjes op de wereld.
Leuk en aardig... Ik heb laatst een lijstje opgemaakt van de door mij gebruikte logins. Puur zakelijk, dat wel. Uiteindelijk kwam ik ongeveer op de 120 gebruikersnamen en wachtwoorden (accounts met persoonlijk WW daarbuiten gelaten.) Het is voor mij bijna niet te voorkomen om op bepaalde zaken eenzelfde wachtwoord te gebruiken (bijv groeperen in: Printers, Switches, Routers, Servers, Webgerelateerd, hosting enz enz enz)
Je moet het ook logisch voor jezelf houden, nu ben ik nog redelijk goed in het onthouden (en volgens mij groepering hou ik max 30 a 40 passwords over) dus met trial and error lukt het ook wel... De andere mensen bij ons op kantoor zijn helaas niet zo goed in het onthouden dus of ze schrijven het ergens op of ik krijg elke maandag een telefoontje :P

Je moet dus een beetje tussen de gebruiksvriendelijkheid en veiligheid kiezen en daar een mooie tussenweg in vinden
Het account van Administrator en Root behoren vrijwel niet gebruikt te worden.
Administrators zelf geef je rechten op hun taak.

Vraag is nu even waardoor deze sites vulnerable zijn geworden. hoe zijn ze binnen gekomen en zijn daarvoor alle linux distri's vatbaar? (je mag er vanuit gaan dat die websites niet op IIS draaien)
iis is al een tijdje veiliger dan apache. Die laatste opmerking slaat dus nergens op.
Je mag aannemen dat Linux grondig gehacked is en dat het waarschijnlijk een nog niet ondekt lek is waar men misbruik van maakt. Als deze professioneel beheerde linux sites plat gaan mag je aannemen dat iedereen kwetsbaar is.
Deze sites zijn tenslotte het paradepaardje van de linux gemeenschap.
Alleen in dit geval gaat het niet alleen maar om de hack. Het gaat erom wat dr exact gebeurd is op die servers na de hack. Zoals je weet hebben ze bepaalde veranderingen toegebracht bij de SSH. Het is nu dus van groot belang dat ze exact uitzoeken wat diegene heeft verpest zodat ze zeker weten dat ze zelf geen zaken gaan verspreiden met hacks, cracks of backdoors :) Dat is de reden waarom het onderzoek zolang duurt

Staat volgens mij vooralsnog vrij los van Apache en de misbruikte kwetsbaarheid zelf hoor

[Reactie gewijzigd door Mellow Jack op 12 september 2011 11:25]

Zolang wachtwoorden door een site encrypted worden opgeslagen, is het heel veilig een kenmerk van de site te gebruiken in je wachtwoord. Er zijn sites die wachtwoorden niet versleuteld opslaan (belachelijk maar waar), daar kn je de sjaak zijn als hackers gaan proberen uit te zoeken hoe jouw wachtwoord opgebouwd is. In zo'n geval is het bijvoorbeeld een niet zo'n overduidelijk kenmerk te nemen: ipv de domeinnaam achter het wachtwoord te plakken, plak je de kleur van het logo achter het wachtwoord. Of hak het domein in twee stukken: eerste 4 letters vr je wachtwoord, de rest erachter.

Opschrijven is nog helemaal niet zo'n gek idee bij thuisgebruik. Het risico dat je wachtwoord digitaal gekraakt wordt is veel groter dan dat een inbreker een vaag briefje meeneemt dat ergens in een lade bij de computer slingert (hij neemt de computer mee en vertrekt weer).

Zorg dat de belangrijke wachtwoorden veilig zijn (dus moeilijk te achterhalen voor anderen), de minder belangrijke wachtwoorden mogen best wat simpeler en minder uniek zijn (maar makkelijker te onthouden). Uiteindelijk is het gewoon een risico afweging.
ik kan anders prima verschillende wachtwoorden onthouden hoor.
Ik gebruik voor iedere site en ieder systeem een ander wachtwoord dat een automatisch gegenereerd wachtwoord is van minimaal 8 tekens waarin cijfers, letters (klein en hoofd) en vreemde tekens in voorkomen.
Dat jij het niet kan onthouden wilt niet zeggen dat dat voor iedereen geldt ;)
Voorbeeldje: ik gebruik in totaal zo'n 25 wachtwoorden die ik allemaal uit m'n hoofd weet waarvan de systeemwachtwoorden minimaal 15 tekens hebben en de site ww minimaal 8.
Wens ik je veel succes met kraken ;)
Leuk dat jij zo briljant bent. De rest van de wereld is dat niet. Die kunnen niet eens hun admin password onthouden, en hebben dat op een geel memo papiertje op hun beeldscherm geplakt. Dt is de realiteit van de dag!
Wachtwoorden in een boekje zijn veiliger dan je denkt
Maar je moet niet jan en alleman daar kennis van geven

Neem anders de Wallets of Safefaults voor passwords/passphrase en die wel met een goed password afdekken, en dan alleen als single instance dus niet globaal voor de hele dag en alle applicaties maar per aanvraag
Wat op hun website (en in de mail die ze rondgestuurd hebben naar iedereen die een account had) staat het iets anders:
quote: Linux Foundation
We are in the process of restoring services in a secure manner as quickly as possible. As with any intrusion and as a matter of caution, you should consider the passwords and SSH keys that you have used on these sites compromised. If you have reused these passwords on other sites, please change them immediately. We are currently auditing all systems and will update this statement when we have more information.
Wat IMO wel een goed idee is.

[Reactie gewijzigd door Goderic op 12 september 2011 16:09]

"De Linux Foundation vermoedt dat het lek dat in de afgelopen week is gevonden, in verband staat met het onlangs gekraakte Kernel.org."

Ze hebben het zelf ontdekt dus en het is niet aangegeven. Wel netjes dat ze er redelijk snel achter komen. Jammer dat hackers het niet melden wanneer er een lek is gevonden.

Het is wel raak met de hackers de laatste tijd. Ben benieuwd welke methode ze gebruikt hebben.
Als een dergelijk inbreker eenmaal root access heeft kun je weinig meer doen.... Ik ben daarom dan ook erg benieuwd hoe men exact die "root access" verkregen heeft.
Het kan op een hele lullige manier zijn gebeurd :
Andere site gehacked waar iemand met sudo rechten van kernel.org op zat met dezelfde login-gegevens......

Dan is het een kwestie van proberen en je bent binnen met root-access.
waar gaat dit naartoe?
Op den duur kan je niets meer van 'veilige' bronnen vertrouwen, maar toch moet je updaten want de ene vulnerability na de andere komt uit.
je hebt dus de keuze, je systeem kwetsbaar laten voor de laatste injections, ddos, ... aanvallen OF updaten met het risico dat je systeem genfecteerd raakt met trojans in de kernel, ...
[offtopic] ik snap niet waarom hier direct weer een ganse discusie oplaait over veilige/onveilige wachtwoorden en de do's and don'ts hieromtrent.
Ik veronderstel dat ze bij linuxfoundation en linux.com wel veiligere methodes gebruiken om als beheerder op hun systeem in te loggen.
Maar: Wel werden bestanden van openssh gewijzigd en was er een trojan genstalleerd. dit vind ik geruststellend; opnieuw een poging om ssh te injecteren, wat wil zeggen dat de laatste versies van openssh geen gekende exploit bevat; maar ook verontrustend gezien deze hackers al maar meer proberen om via de basis systemen te injecteren. Stel dat dit lukt, beeld je eens in wat je allemaal kan met die duizenden linux-servers @ your command.

[Reactie gewijzigd door dusti op 12 september 2011 11:26]

Wederom een nette strakkie reactie van de OS community. Niet stilhouden, niet omheen lullen. Op zwart, onderzoeken, patchen en terug komen. Precies zoals het hoort!
Niemand zegt dat linux veiliger is dan Windows of OS X. Elk stukje software is vatbaar voor misbruik. Wel een groot verschil is de manier waarop er met veiligheid omgegaan wordt. Daar waar men bij open source software snel reageerd op problemen blijkt commerciele software gehinderd te worden door logge structuren. Een lek in Linux zal vaak op enkele dagen gedicht zijn, bij Windows hangt het af van de goodwill van MS en moet je altijd wachten tot patch tuesday.
Niemand zegt dat linux veiliger is dan Windows of OS X
Vandaag niet nee.

Maar in de afgelopen jaren werd het wel door velen geroepen als er iets aan de hand was met Windows.

Jammer genoeg hebben de linux gebruikers die beter wisten, bij dat soort threads toen nooit hun mede gebruikers gecorrigeerd in die uitspraken.

(En btw, de reden dat je moet wachten op patch tuesday is omdat beheerders van grote enterprise omgevingen daarop hebben aangedrongen bij Microsoft. Je thuis PC kun je makkelijk op een willekeurige dag patchen, maar dat kan niet in grote bedrijfskritische omgevingen)
Het word vaak geroepen, maar niet door mensen die weten waarover ze spreken. Zelf ben ik iemand die dit altijd herhaald. Net hetzelfde als men bij virustopics loopt te roepen dat linux of OS X geen scanner nodig hebben haal ik die stelling altijd onderuit.

En de beheerders kunnen zelf hun patches opsparen en uitrollen wanneer het hen past imho. Want ook na patch tuesday moeten zij nog altijd de patches testen voor deze naar het netwerk worden uitgerold. Daar moet de thuisgebruiker niet de dupe van zijn. De echte reden is dat de amerikaanse overheid het recht heeft gevraagd en verkregen om patches te krijgen voor de uitrol naar alle andere partijen zodat bij hen de lekken gedicht zijn voordat malwaremakers op zoek kunnen gaan naar kwetsbaarheden die zo bekend worden.
Het word vaak geroepen, maar niet door mensen die weten waarover ze spreken.
Kijk de statistieken er een keer op na en probeer me dan nog eens te overtuigen dat dat mensen zijn die niet weten waar ze het over hebben.
Kijk eens hoeveel virussen er in het wild voor Linux zijn gevonden en vertel me dan nog eens dat er een reele kans is dat ik een virus op mijn Linux bak krijg.

Op ieder OS werken gebruikers die fouten maken. Geen enkel OS is 100% veilig. Maar beweren dat je de statistieken volledig naast je kan leggen, is ook niet 100% geloofwaardig.
En de beheerders kunnen zelf hun patches opsparen en uitrollen wanneer het hen past imho. Want ook na patch tuesday moeten zij nog altijd de patches testen voor deze naar het netwerk worden uitgerold.
Nee, je kunt de patches niet opsparen, want je wilt ze vrij snel na de bekendmaking door Microsoft uitrollen naar je servers.

Op het moment dat Microsoft bekend maakt dat er een patch nodig is gaan allerlei mensen actief op zoek naar die vulnerability en zie je dat er na ongeveer 2 weken allerlei malware actief in het wild is dat daarvan gebruik maakt.

Je kunt dus niet van een hele maand de patches opsparen want dan ga je ruim over die 2 weken heen.

Inderdaad moeten patches nog wel eerst getest worden door de beheerders. Patches komen bij ons dus ook niet op patch tuesday op de servers, maar pas in het weekend na patch tuesday.
Het word vaak geroepen, maar niet door mensen die weten waarover ze spreken. Zelf ben ik iemand die dit altijd herhaald. Net hetzelfde als men bij virustopics loopt te roepen dat linux of OS X geen scanner nodig hebben haal ik die stelling altijd onderuit.

En de beheerders kunnen zelf hun patches opsparen en uitrollen wanneer het hen past imho. Want ook na patch tuesday moeten zij nog altijd de patches testen voor deze naar het netwerk worden uitgerold. Daar moet de thuisgebruiker niet de dupe van zijn. De echte reden is dat de amerikaanse overheid het recht heeft gevraagd en verkregen om patches te krijgen voor de uitrol naar alle andere partijen zodat bij hen de lekken gedicht zijn voordat malwaremakers op zoek kunnen gaan naar kwetsbaarheden die zo bekend worden.
De design van linux/osx is gewoon heel anders dan die bij windows.... Ik zeg niet dat linux 100% veilig is maar de fundering van linux/osx is gewoon heel anders... Ik durf te wedden dat we inderdaad wel rootkits etc.. hebben maar echt virussen zoals bij windows nee.. Dat geloof ik ook niet (zeg niet in die maten..

[Reactie gewijzigd door demilord op 12 september 2011 16:29]

Ach, in de praktijk is linux gewoon veiliger, by design en wat betreft het gebruik dus zover zat men er niet naast..

Mensen die menen dat hun systeem 100% veilig is: net zo dom als de mensen die een klein hackje gebruiken om hun vooroordelen vanuit een fanboy standpunt te spuien.
Met het eerste gedeelte (vatbaarheid) ben ik het met je eens. Maar jouw opmerking dat je altijd moet wachten tot patch tuesday, klopt niet helemaal. Microsoft heeft - voor zover ik mij herinner - diverse malen in zeer kritieke gevallen buiten de vaste cyclus om patches ter beschikking gesteld.
En dan maar zeggen dat linux altijd zo veilig is. Dit bewijst maar weer dat linux net zo kwetsbaar is als microsoft.
of de code van de website, wat niets met Linux te maken heeft.
voor root access kom je toch echt een niveau dieper dan apache oid.
Als je website een fout geval kan je dmv een exploit heel veel voor elkaar krijgen ;)

Eigenlijk hetzelfde als bij Windows... Het OS op zich is veilig maar al de meuk wat iedereen installeert en doet verpest een hoop :P
Als je website een fout geval kan je dmv een exploit heel veel voor elkaar krijgen ;)

Eigenlijk hetzelfde als bij Windows... Het OS op zich is veilig maar al de meuk wat iedereen installeert en doet verpest een hoop :P
Maar je draait dan ook geen internet explorer op een linux bak mag ik hopen O-)
Op een besturingssysteem draai je ook andere software, grote kans dat het lek zat in applicaties als: Webserver, mailserver e.d.

Voor zowel MS-Windows als GNU/Linux geldt: De meeste lekken zitten in de software die men bovenop het OS gebruikt...
Lijkt me niet slim/logisch dat ze mail etc. runnen op dezelfde (web)server. Zulke grote sites kunnen dat het beste gescheiden houden. Dat weten ze zelf ook gok ik.

Verder vind ik het knap dat ze root access krijgen op die servers. Ik dacht altijd dat Linux aanraadde om root access dicht te zetten / niet actief te gebruiken? Dan zouden ze het root account ww hebben gekraakt (of gevonden...) Dat is nogal een stunt.

Maar even voor de duidelijkheid... root access tot een server is toch ook root access tot een (d.w.z.: geinstalleerd) OS?
Klopt, maar het hoeft niet perse het root account te zijn geweest.
Als ze de login gegevens achterhaald hebben van iemand die (volledige) sudo rechten heeft hebben ze ook systeems-toegang.
Deze hack betreft een paar servers, niet het OS.
Hoe weet jij dat?
Bij de hack op Op kernel.org was er volgens de nieuwsberichten sprake van privilige escalation en dat is wel degelijk een hack in het OS.
Als deze hack daaraan verwant is dan ligt het dus voor de hand dat dit weer gebeurt is.
Met als verschil dat je bij linux zelf de source kunt controleren. Bij windows moet je maar hopen dat microsoft dat zelf goed heeft gedaan.
Nee natuurlijk niet, je kan ook slechte code open source maken, dan is het dubbel erg.
Wel goed dat ze 'extreem' voorzichtig zijn, dat getuigt ervan dat ze het serieus nemen.
Ze reageren idd zeer serieus door alles meteen offline te halen. Dit is vele malen beter dan veel site doen.

Grote communities kunnen hier toch wel een voorbeeld aan nemen.
Voor veel communities is er ook een commercieel belang. Lijkt me moeilijker om dan de site offline te halen. (Je geeft vaak ook een minimale beschikbaarheids percentage door.)
Precies, en juist dat commerciele belang zorgt er voor dat de veiligheid van de gebruiker niet prioriteit no1. is.
Wat eigenlijk wel maatschappelijk verwacht wordt. Ik denk dat ik liever op een community actief ben waar men de site 1 week offline heeft omdat er een 'mogelijk' beveiligingslek is dan dat mijn gegevens op straat komen te liggen
Inderdaad alleen jammer dat de meeste bedrijfen hier tog anders over denken. Maar als het je tog overkomt lijkt het mij verstandiger om je site offline te halen? de schade die je kan oplopen als het bekend word dat je site gehackt is en dat er gegevens naar buiten komen kan dat wel op tegen de windst die je site anders had verkregen?
Het idee van open source code is juist dat de code die je open source hebt gemaakt, ook gecontroleerd kan worden, wat natuurlijk (onder andere) als voordeel heeft dat er fouten kunnen worden gevonden en dat de code dus (theoretisch) sneller wordt verbeterd.
je kan ook slechte code open source maken, dan is het dubbel erg.
Dubbel zo erg als wat?
Neen.
Juist als het open is, kan iedereen de fout vinden en doorgeven aan de programmeur. Volstrekt onmogelijk bij closed source. Closed Source kan je per definitie niet vertrouwen. Je kan er immers niet in kijken.
goed we zijn inmiddels wat wijzer, al waren we dat volgens mij al jaren.

Conclusie nog steeds:

Ieder operating systeem is kwetsbaar
opensource is blijkbaar niet genoeg xD
Nee natuurlijk niet... Alleen is het wel een VOORWAARDE om zo veilig mogelijk te werken.
Maar als je elders je wachtwoorden rondbazuint of op een Windows-bak zet met malware erop... Tja.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True