Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 139 reacties

Twee maanden nadat een kritiek beveiligingsprobleem in OpenSSL werd ontdekt, is opnieuw een gevaarlijke bug in de code aan het licht gekomen. Aanvallers kunnen een man-in-the-middle-aanval uitvoeren, maar alleen als het slachtoffer ook OpenSSL gebruikt.

https sslEen aanvaller kan met behulp van het beveiligingsprobleem zwakke versleuteling in een OpenSSL-verbinding afdwingen als hij in staat is om het netwerkverkeer te onderscheppen. Vervolgens kan de inhoud van de communicatie dankzij de zwakke versleuteling worden gekraakt, blijkt uit een securitybulletin van OpenSSL.

De kwetsbaarheid kan alleen worden gebruikt als zowel de server als de client kwetsbaar zijn voor de bug. Daardoor zijn gebruikers die andere ssl/tls-software gebruiken niet kwetsbaar. Onder meer Firefox, Safari en de desktopversie Chrome gebruiken een andere ssl/tls-library dan OpenSSL, waarmee gebruikers van die browsers niets te vrezen hebben. De Android-versie van Chrome gebruikt weer wel OpenSSL.

Het OpenSSL-team heeft een update vrijgegeven voor de software. Het patchen van de bug duurde ruim een maand; op 1 mei vond een Japanse onderzoeker het beveiligingsprobleem, maar de update is donderdag pas vrijgegeven.

De bug volgt twee maanden nadat een veel ernstiger lek in de OpenSSL-code werd ontdekt, waarmee een aanvaller kleine delen van het interne geheugen van een server met OpenSSL kon uitlezen. Daardoor lagen in potentie privésleutels, onversleutelde wachtwoorden en andere gevoelige gegevens op straat. Uit een test van CloudFlare, dat een kwetsbare server configureerde en aan het internet hing, bleek dat ook in de praktijk het geval te zijn.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (139)

Wat een onzin.

In een gesloten systeem kan net zogoed eenzelfde type bug zitten, alleen dan weet niemand behalve potentieel de bouwer het. Én de gene die de bug vindt danwel exploiteert.
dat is ook onzin, er is een verschil tussen vinden en melden.

zoals gebleken is bij heartbleed, waren meerdere partijen eerder op de hoogte van de bug, hebben hun eigen servers gepatcht en het vervolgens niet aan de grote klok hangen (google bijvoorbeeld)

Daarnaast is het totaal niet uit te sluiten dat er hele volksstammen zijn die van deze bug geweten hebben en het puur voor eigen gewin gebruikt hebben. Dat is zelfs zeer waarschijnlijk.
Zeer waarschijnlijk, waar is dat op gebaseerd?

En waarom ze eerst hun eigen servers gepatched hebben, is het niet zo dat juist de grote partijen eerst hun eigen servers veilig stelde, een klus dat niet in een uurtje gedaan is en dan de rest ingelicht hebben? Volgens mij is dat toch zeer netjes. Ze hadden het ook aan de grote klok kunnen hangen en dan pas zelf hun miljoenen servers gaan patchen, het eerste lijkt mij beduidend veiliger.

En natuurlijk is er een verschil tussen vinden en melden. Wat wel een belangrijk verschil is dat bij opensource tenminste iedereen het vrijstaat om te zoeken naar bugs. Als je kijkt naar de meeste servers en dan vervolgens de meeste hardened servers, mag het toch wel duidelijk zijn dat de overgrote deel voor open kiest. Verder als opensource zo slecht was, waarom is het juist zo dat men er dan juist gebruik van maakt?
Dat is zeer waarschijnlijk als je je verplaatst in een persoon die die broncode gaat uitpluizen, dat is nogal een taak namelijk. Naast de nobele motiveringen als nieuwsgierigheid en verbeteren van code, is er natuurlijk zeer zeker de kans dat je de code bekijkt om een zwak punt te vinden, om daar dan namelijk gebruik van te kunnen maken.

Een persoon uit die laatste categorie die een zwak punt vindt, zal dit punt natuurlijk niet opgelost willen zien, dus niet willen melden.

Een kwestie van wereldbeeld wellicht, maar de software is een aantrekkelijk doelwit natuurlijk en ik verwacht dat dat genoeg mensen aantrekt die niet "the best intentions" hebben.
Zelfs als ze niet gevonden zijn bestaan ze wel degelijk. Ze worden alleen nog niet misbruikt. Security through obscurity is no security at all.

Hoe denk je dat alle kwetsbaarheden in Windows, IE, Flash, PDF, ... gevonden worden, dat is niet omdat de broncode ergens magisch is verschenen. Dat is closed source software die misbruikt word.
Het feit dat het gesloten is betekent niet dat er minder (of geen) problemen zijn, bij open systemen worden ze vaak juist eerder ontdekt omdat iedereen er naar kan kijken (wat niet het geval is bij gesloten system).
Raar dat deze dan zo laat ontdekt zijn, en op zo'n korte tijd. Bij gesloten systemen zijn ze moeilijker om te vinden voor krakers en dus zolang ze niet gevonden zijn, zijn ze onbestaand.
Wie zegt dat ze laat ontdekt zijn? Misschien zitten deze fouten er nog helemaal niet zo lang in?

Hoewel het voor een crimineel misschien moeilijker is om een fout die hij kan misbruiken te ontdekken in een gesloten systeem, is de kans dat hij die voor langere tijd kan gebruiken als hij hem vind wel een stuk groter. De maker van de software is er tenslotte ook niet van op de hoogte en repareert het lek dus niet...
Maar het is ook niet zo dat elke random programmeur maar even naar de repository gaat van een groot open softwarepakket en het lek dicht. Er blijft natuurlijk een team achter zitten. Open source =/= iedereen mag maar klooien met het hoofdproduct. Forks maken, sure.
Het is inmiddels duidelijk dat één van deze bugs al meer dan 15 jaar in de code zat. Het nieuwsbericht wat hier staat beschreven gaat over maar één van de twee nieuwe kritieke bugs die gisteren verholpen zijn. Uitleg van de bug door de ontdekker.
The biggest reason why the bug hasn’t been found for over 16 years is that code reviews were insufficient, especially from experts who had experiences with TLS/SSL implementation. If the reviewers had enough experiences, they should have been verified OpenSSL code in the same way they do their own code. They could have detected the problem.
Ook dit keer is één van de kritieke bugs gemaakt door Robin Seggelmann, degene die ook verantwoordelijk was voor de Heartbleed bug. Die bug bestond al zeker vier jaar.
According to the commit logs, Robin Seggelmann introduced this vulnerability into the OpenSSL code base four years ago. Yes, Robin Seggelmann is also responsible for introducing the Heartbleed vulnerability. Two big vulnerabilities introduced by the same developer. Seggelmann is not completely to blame, of course. OpenSSL is an open source project. The ‘many eyes’ that look at this code failed to catch this bug
De overige vier bugs die verholpen zijn, zijn niet als kritiek geclassificeerd.

Alle zes de bugs:
CVE-2014-0224 (kritiek)
CVE-2014-0195 (kritiek)
CVE-2014-0221
CVE-2014-0198
CVE-2010-5298
CVE-2014-3470

http://www.networkworld.c...de-for-over-15-years.html

[Reactie gewijzigd door SidewalkSuper op 6 juni 2014 11:11]

Maar voor die 3 jaar zat hij er niet in. Snapje. Daarnaast zullen we net zo snel zien wie deze bug erin gemaakt heeft door middel van de repository. Dus die bron komt wel.
Heartbleed (daar heb ik de bron niet voor nodig want daar ben ik terdege van op de hoogte) heeft niets te maken met het feit dat je het oneens bent met de stelling dat de fout waar het hier over gaat er wellicht nog niet zo lang in hoeft te zitten. Hoe kun je het nou oneens zijn met een dergelijke stelling als je niet weet of dat zo is ja of nee?
"Everybody's job is not anybody's job"
Bron: http://www.nytimes.com/20...tion-in-the-web.html?_r=0

Vrij vertaald: als iedereen er naar kan kijken en er dus wat mee kan doen, voelt niemand de verantwoordelijkheid om er ook daadwerkelijk iets mee te doen. Bij heartbleed, het meeste kritieke lek ooit, heeft het maar liefst meer dan 2 jaar geduurd voordat een oplossing voorhanden was. Open systemen zijn imho dus alles behalve heilig.
Van waar haal je die 2 jaar? :?

http://en.wikipedia.org/wiki/Heartbleed#Discovery

Het is ontdekt in Maart/April en dezelfde maand gepatched.
Omdat de herkomst van de code waar de fout in zat al van 2011 dateert. In het artikel staat dat het in April werd gereport. Dat is dus niet hetzelfde als ontdekt. Dus mogelijk is het al eerder ontdekt geweest, en dus mogelijk ook misbruikt geweest gedurende 2 jaar.
Ja, ok, maar dan kan je niet zeggen dat het meer dan 2 jaar duurt voor er een oplossing voor was.
Het is openbaar gemaakt (maar dus misschien eerder ontdekt/misbruikt) en binnen de maand was er een patch. De oplossing was er dus veel sneller dan 2 jaar...
Nee dus.

Probleem dateert van 31-12-2011.
Oplossing kwam pas in april 2014.

Meer dan 2 jaar dus.

Het feit dat het later "ontdekt" (hier zijn de meningen over verdeeld dus) werd, doet hier niets aan af en is eigenlijk alleen maar beschamend en triest te noemen.
Beetje raar. Een bug in IE8 (2009) is dus ook 5 jaar oud, omdat deze mogelijk al vanaf eerste IE8 erin zit (wat we dan niet weten, omdat we niet kunnen zien wanneer changes zijn doorgevoerd).
tja, een bug is pas een bug wanneer hij opgemerkt is, en dat is dus sinds april.
http://nl.wikipedia.org/wiki/Heartbleed

31 december 2011 om precies te zijn dus.

Het heeft dus meer dan 2 jaar geduurd voordat het ontdekt werd doordat de community niet de moeite nam de code eerder door te lichten en/ of regelmatig te checken. In de tussentijd stond alles doodleuk wagenwijd open en er bestaan ook al verhalen dat er misbruik van gemaakt is (o.a. door NSA) zonder dat iemand het wist.
http://en.wikipedia.org/wiki/Windows_XP

Eind jaren 90, om precies te zijn dus. Na 13 jaar komen er nog steeds maandelijks kritieke bugs naar boven omdat Microsoft niet de moeite heeft genomen om de code eerder door te lichten en/ of regelmatig te checken? In de tussentijd stond alles doodleuk wagenwijd open en er bestaan ook al verhalen dat er misbruik van gemaakt is (o.a. door NSA) zonder dat iemand het wist.

Sorry voor mijn "flauwe" reactie maar het is wel de realiteit. Zo is er voor elk argument wel een tegenargument te vinden. Ik ben zelf van mening dat open-source beter is dan closed-source. Juist omdat er onder andere inzage plaats kan vinden.

Dit is misschien wel een leuk/interessant artikeltje om door te lezen: Why Closed Source is Better Than Open Source.
alle code is juist doorgelicht, daarom duurde het ook zolang voor vista uitkwam. Daarin is veel code herschreven, en zijn overal beveiligingen ingebouwed.

Jij draait toch ook niet meer op linux 2.0?

Dat hardware fabricanten weigerden om nieuwe drivers te maken omdat ze liefer nieuwe hardware verkopen is hierin MS niet aan te rekenen. Dat UAC niet was wat het kon zijn is iets anders.

[Reactie gewijzigd door Fiander op 5 juni 2014 16:22]

Lol, Vista, na Windows Me de slechtste versie ooit. :D
Niet zo'n schitterend voorbeeld. :P
Inderdaad een flauwe reactie. Ook omdat die nergens op gebaseerd is. Wat is de realiteit dan volgens jou? Die onderbouw je nergens.

Ik ben van mening dat de bugs in Windows producten over alle jaren heen in geen verhouding staan tot datgene wat we met Heartbleed hebben gezien. In één klap bleek meer dan de helft van alle beveiligde websites ter wereld onveilig. Dat viel niet meer te maskeren met een virusscanner of een intelligente firewall, het was/ is gewoon een regelrechte ramp.

Allemaal leuk en aardig die inzage in open-source code maar als niemand er wat mee doet ("Everybody's job is not anybody's job"), dan is het des te eenvoudiger voor kwaadwillenden om er (voor lange tijd) misbruik van te maken omdat toch niemand het opmerkt.
Ik heb een specifiek voorbeeld gebruikt, misschien is dat geen goede keuze geweest.

Je licht specifiek de commit van 2 jaar geleden uit. Mijn punt is dat Windows XP (en daarmee de meeste van kritische bugs) ruim 13 jaar geleden ontwikkeld is. Tevens zitten in dit gesloten besturingssysteem (waarvoor mensen betaald blijkbaar krijgen/kregen om de broncode door te spitten) nog steeds kritische fouten en ernstige lekken.
Ook latere versies van het besturingssysteem (maar ook in andere pakketten die langer bestaan) worden nog met regelmaat (soms ernstige) bugs gevonden. Goede voorbeelden zijn eerder genoemde pakketten van Sun en Adobe. Soms zijn dit zelfs fouten die over meerdere versies verspreid zijn. Dit bedoel ik met "feiten".

Het is ook echt niet zo dat deze bugs alleen maar ontdekt worden door de betaalde interne teams of bedrijven die (security-)audits uitvoeren op de broncode. Er zijn net zo goed bugs die door kwaadwillende gebruikers ontdekt (en mogelijk ook achtergehouden) worden.
Omdat je mensen betaalt om naar de broncode te kijken wil natuurlijk niet zeggen dat ze dit ook daadwerkelijk en grondig doen. Er zijn overigens ook voldoende bedrijven die teams hebben die naar open-source software kijken (en de verbeteringen teruggeven aan de community).

Dit alles maakt het Heartbleed fiasco niet minder beschamend maar ik wil maar aangeven dat de genoemde periode en in ieder geval niets zegt over de kwaliteit van de broncode. En dat maakt closed-source niet per se beter dan open-source.

Tot slot;
Allemaal leuk en aardig die inzage in open-source code maar als niemand er wat mee doet ("Everybody's job is not anybody's job"), dan is het des te eenvoudiger voor kwaadwillenden om er (voor lange tijd) misbruik van te maken omdat toch niemand het opmerkt.
You can just throw in the towel

With open source, there's always a way to get something fixed, patched, improved, enhanced, refactored, upgraded, or rewritten. There's no easy way to throw up your arms and walk away like there is with closed source. Sure, you can curse the community that developed the open source component causing you problems, but you can usually work around the issue, get help from the community or a support organization, or even fix the issue yourself. It's just not nearly as satisfying as cursing a commercial vendor and calling it a day.
Precies wat Microsoft nu eigenlijk doet.

Disclaimer: ik spreek hier (veel) over Microsoft. Het is niet mijn intentie om Microsoft te bashen. Het is slechts een "gemakkelijk" voorbeeld.
Van wat ik mij herinner was de bug erin gekomen bij een commit die ver voor maart/april plaats had gevonden.
Je overschat de open source community.
Heel veel regeltjes blijven jarenlang ongelezen behalve juist door gasten die op zoek zijn naar exploits om te misbruiken/verkopen.
Eindelijk iemand die het punt snapt! Het is open, iedereen kan het inkijken en dus verbeteren of misbruiken
Ik ben het met je eens, maar mijn punt is juist dat dit net zo het geval kan zijn bij closed-source projecten.
Niet echt, wat hij zegt klopt volledig. Iedereen KAN er naar kijken. En bij open source worden ze ook eerder ontdekt net omdat er meer mensen KUNNEN naar kijken. Bij closed source worden ze misschien niet ontdekt maar ze zijn er wel. En oh, genoeg closed source software met lekken die aan een alarmerend tempo gevonden worden. Althans alarmerend als je er van uitgaat dat de closedsource voorstanders gelijk hebben dat dat veiliger is.
Je kan het onder "security through obscurity" plaatsen. En de meerderheid van de veiligheidsexperts zal je wel kunnen vertellen dat dat helemaal niet zo veilig is.

FTR, ik denk niet dat open source zomaar veiliger is.
Bij closed source is de kans groter dat iemand verplicht word de hele codebase door te nemen. Microsoft heeft bijvoorbeeld een aantal engineers die de hele godsgandse dag codes doorneuzen op zoek naar exploits en foutjes. Bij open source is het "Misschien dat iemand er zin in heeft" of "Misschien niet".

Dan blijf je nog steeds aan beide kanten het "KAN" en "KUNNEN".
Het is gewoon afhankelijk van de applicatie en de mensen erachter. Niet omdat iets closed of open source is, dat heeft er vrij weinig mee te maken eigenlijk.
Belangrijke software wordt met grote regelmaat nagelopen, bij OSS vaak nog door meer mensen dan bij closed source, zoiets als de hearthbleed bug was waarschijnijk niet eens ontdekt indien openssl geen OSS was geweest.
Het Heartbleed probleem is niet gevonden doordat de source code was bestudeerd (dat was helaas al jaren niet meer gebeurd) maar door het gedrag van OpenSSL te controleren. Daaruit bleek dat er iets helemaal mis was. Zulke software is trouwens zo complex dat je met het lezen van de broncode vaak niet zo ver komt. Gedrag testen, uitzonderingen zoeken, daar vindt je veel meer (security)bugs mee.
Dus met constante audits houden ze nog zo veel bugs en exploits over die door externe bronnen gevonden worden. Lekker efficiënt zo.
Maar dat terzijde, want dat is wel een hele hoop code om door te neuzen dus het zal hier en daar zowiezo gebeuren :p

Wat ik gewoon wou zeggen is dat hij nergens zei dat open source door een hele hoop mensen grondig doorkeken werd, maar dat er wel meer mensen kunnen naar kijken (en dat gebeurt bij de grotere projecten ook wel) en dus ook dingen rapper gevonden kunnen worden. En dat is gewoon waar en heeft niets met overschatting te maken.

Wat ook wel belangrijk is, er kunnen meer verschillende mensen naar de source kijken en dus een verse blik er op werpen. Waar het bij closed source toch een heel erg beperkte groep mensen is die dat kan. Wat het verder oplevert is niet iets dat vast gemeten kan worden. Soms zal het een aantal goede fixes of veranderingen opleveren, soms gewoon niets. Bij kleinere projecten zal er misschien niet zo veel gebeuren, maar dan nog is het feit dat er meer ogen kunnen naar kijken dan enkel de developer een goede zaak.
Microsoft produceert miljoenen regels code elk jaar :P Al stop je daar een heel leger op voor constante audits.

OS heeft ook zeker voordelen maar is net als met CS gewoon enorm afhankelijk van de mensen erachter. Maar mensen lijken er steeds van uit te gaan van "Oh het is open source, dus kijken mensen elke regel wel na en daarom is het veiliger".
Iets is zeker niet automatisch veiliger alleen omdat het Open Source is.
Maar als zoiets als dit gebeurt met OpenSSL laat het opzich ook wel voordelen zien, nu word van OpenSSL elk stukje kei hard getest en door duizenden mensen geaudit. Dat zou waarschijnlijk niet gebeurt zijn als het CS was. Maar in verhouding tot de hoeveelheid OS projecten, zijn er maar weinig waar bijna elk regeltje code door meerdere mensen gecontroleerd word.

Maar goed, ging mij er om de valse veiligheid de veel mensen hebben van "Het is OS dus veilig".
Maar goed, ging mij er om de valse veiligheid de veel mensen hebben van "Het is OS dus veilig".
De hoeveelheid mensen die -vrij onterecht- een afkeer hebben aan open source is nochtans in de meerderheid. De balans tussen de twee kampen wordt wel steeds groter.
Ik zie meer mensen hier (en overal) OS verdedigen als zijnde "het is veiliger" dan andersom :P Ik zie weinig afkeer tegen OS behalve sinds heartbleat nu even en jaar of 2-3 terug toen "anonymous" massaal Linux servers zat te hacken dankzij Apache zero days.
http://www.securityfocus.com/columnists/269
Als je je een beetje inlees in veiligheid omtrent applicaties weet je dat het geen hol uitmaakt of het closed of open is, beide net zo onveilig.
Maar dat het vele malen belangrijker is wie de aplicatie maakt en wie er mee bezig is/blijft.
Bron is niet nodig. Het is beide door mensen gemaakt, mensen kunnen fouten maken ;)
Dat is inderdaad de theorie, iedereen KAN er naar kijken.
Echter de praktijk is dat bij zowel open als gesloten systemen ongeveer evenveel mensen begrijpen waar ze naar kijken, en dus fouten in de code kunnen vinden.

Iets wat veel belangrijker is, is open standaarden.
Met open standaarden zou er allang door iemand anders een veel betere flash player gemaakt zijn ( bij voorbeeld ) en adobe door concurentie dus gedwongen worden betere code te schrijven.

[Reactie gewijzigd door Fiander op 5 juni 2014 16:26]

Gesloten systemen als Flash Players, Internet Explorer, Windows, en stemcomputers hebben gelukkig geen grote problemen.
stemcomputers zijn open systemen (al een geluk), ze geven de code wel pas na de verkiezingen vrij (misschien ook al een geluk) :)
Als ik het mij goed herinner was de grote rel bij de stemcomputers juist omdat de broncode niet beschikbaar was, er kon dus geen controle plaats vinden. Plus dat ze op afstand 'afluisterbaar' waren (en dus het stemgeheim niet geborgd was).

Maar misschien heb ik het ook wel fout begrepen :).
Bovendien geeft het vrijgeven van broncode echt NUL garantie bij stemcomputers, je hebt er pas wat aan als je daarna ook kan vaststellen dat die broncode inderdaad de code is die daadwerkelijk op die machine draait.

Je hebt er niets aan als op het apparaat een versie draait die stemmen manipuleert en de fabrikant een schone broncode versie publiceert.

Erger nog, bij Wij vertrouwen stemcomputers niet hadden ze de software gehacked. Dus met de beste wil van de wereld kan de fabikant geen broncode vrijgeven met die hack er in, die heeft de fabrikant niet eens.

Fabrikanten Nedap en SDU hielden de bron code geheim. Met publicatie kun je alleen verifiëren of er geen problemen al in de bron code zitten, maar verder zegt het dus niets over wat er nu daadwerkelijk op die machine draait en blijft het dus even onveilig.

Maar on topic, dit incident toont wel de kracht van open source. Open SSL wordt nu onder een vergrootglas gelegd en de bugs verholpen. Een gesloten SSL oplossing wil niet zeggen bug vrij, het zegt alleen dat je het niet weet en heeft ook als gevolg dat er geen heel leger vrijwilligers klaar staat om de code helemaal binnenstebuiten te keren. Mijn vertrouwen in Open SSL wordt hierdoor niet minder, in tegendeel juist, het is weer een lek minder waarvan je nu zeker weet dat die er in elk geval niet meer in zit.
Om een apparaat te hacken moet hij opengehaald worden. Je ziet sporen van vernieling. Hoe makkelijk is het om een stembus open te maken en de stemmen te manipuleren. Vrij easy ;)

Al hoewel kan de NSA nu ook via afstand een een apparaat manipuleren van data. http://www.voanews.com/co...-to-internet/1830686.html bijvoorbeeld. Hoe betrouwbaar zijn overheden eigenlijk? Die verkiezingen organiseren..
Om een apparaat te hacken moet hij opengehaald worden. Je ziet sporen van vernieling. Hoe makkelijk is het om een stembus open te maken en de stemmen te manipuleren. Vrij easy ;)
Nu haal je denk ik iets door elkaar. Dat apparaat hacken was juist simpel omdat die buiten verkiezingstijd zomaar waren opgeslagen waar iedereen bij kon komen. Alle tijd dus. En je kan ze netjes open schroeven, EPROM vervangen en klaar.

Een stembus is juist veel moeilijker. Je kan heel en eenvoudig op de dag zelf controleren of de bus leeg is, sterker nog, ik denk dat dat een controle is die elk stembureau moet doen voor het sluiten van de bus, en dat dat gebeurt met alle stembureau leden er bij. Als je die bus dan wil open maken moet je dat doen onder de neus van de stembureau leden. Dat lukt dus niet, en tijdens het stemmen wordt de bus nooit alleen gelaten.

Dus zeg nu zelf, wat is gevoeliger voor hacken? Een apparaat dat maanden onbeheerd is opgeborgen en waar niemand naar om kijkt, of een bus die je onder de neus van stembureau leden op de dag zelf moet openen en voorzien van valse biljetten, waarbij je ook nog evenveel biljetten weg moet nemen om de telling van het aantal stemmen te laten kloppen met het de aftekenlijst.

Echt, het rode potlood met bus lijkt low-tech maar is niet te kloppen qua veiligheid. De enige drive om het te vervangen is blijkbaar een aversie tegen low-tech oplossingen, want een andere reden is niet te bedenken.

Gevalletje waarom gemakkelijk doen als het ook moeilijk kan, daarmee is in een nooddoop alles gezegt over de stemcomputer.
Mijn vertrouwen in OpenSSL is sinds heartbleed weg. Vanaf dat moment is duidelijk geworden wat er in de beerput zit.
Ik hoop dat LibreSSL over een tijdje op linux te gebruiken is. Niet dat daar geen bugs in zitten, maar de grote rotzooi is eruit. Hoop alleen niet dat ze foutjes maken zoals Debian destijds met hun RNG die maar 32K random waardes kon genereren.
binair heeft het vast over de verkiezingen in België. Daar wordt inderdaad de broncode gepubliceerd, maar die heeft dus zoals pe1dnn al zegt maar zeer beperkte waarde. No way dat je kan checken of de broncode die je te zien krijgt ook de broncode is die op het apparaat draaide, laat staan of de compiler waarmee hij gebouwd is schoon was.
Eigenlijk zou het niet slecht zijn moest elke partij tijdens de verkiezingen het recht moeten hebben om willekeurig een beperkt aantal stemcomputers op te eisen zodat zij die kunnen (laten) controleren. Dit moet natuurlijk beperkt blijven tot enkele computers over alle stembureaus zodat er geen te grote vertragingen optreden en zodat er niet teveel reservecomputers moeten worden aangekocht. De partijen kunnen die computers dan onderzoeken en moeten ze binnen een bepaalde termijn terug inleveren.
En waarom eigenlijk, is er iets systematisch mis met stemmen op papier ?
Sommigen zouden op papier ongewild ongeldig stemmen heb ik gelezen. Papier duurt ook langer en vraagt zodoende meer opoffering van de bijzitters die door de langere periode misschien meer vermoeidheidsfouten gaan maken. Ook de kiezer wordt mogelijk geconfronteerd met langere wachtrijen. Van digitale stemmen kan je ook makkelijker een controlekopie maken. Daarbij komt dan nog dat ook telresultaten van de papieren stemmen uiteindelijk ergens digitaal moeten ingegeven worden...weer een extra risico op menselijke ingavefouten. Bij digitale stemmen heb je dat risico niet. Je moet dan enkel steekproeven doen met de papieren printouts. Als de digitaal aangeleverde resultaten niet overeenkomen met de manueel getelde papieren printouts, dan kan men nog steeds alle papieren printouts gaan natellen zoals vroeger.

Oh ja, zelf heb ik het geluk gehad om nog nooit via papier te hebben moeten stemmen; in mijn vorige gemeente was ik steeds na 5 minuten terug uit het stemlokaal (geen wachtrij) en waar ik nu woon duurt het ook nooit langer dan 10 minuten.
Waarom niet digitaal en papier combineren? Heb je wel verrificatie ook nog !! :)
Hoe ben je dan zeker dat dat wat er digitaal wordt opgeslagen ook het zelfde is als wat er op je bonnetje staat ?
Inderdaad, veel gebruikte software is meestal wel het interessantste om tussen te pakken.
Vooral Internet Explorer, zo veilig as wat! En als er dan al eens iets gevonden wordt duurt het helemaal niet lang tot de fix er is, wat een service.
Openheid, bah, wat een rotzooi, geef mij maar lekker die gesloten boel, veel veiliger joh.
IE kan zich tegenwoordig prima meten qua beveiliging ten opzichte van Chrome en Firefox hoor.

Het is voornamelijk spul van Adobe dat zo lek is als een mandje (Flash / Reader). Oh en de java-plugin natuurlijk niet te vergeten
Uhuh... En als er dan al eens een lek gevonden wordt wordt het wel heel rap gepatched ook, toch?
Haha "een". Alsof het maar 1 keer gebeurd is? En hoe weet MS nu of het actief misbruikt wordt? Stuurt iedere IE zomaar alles wat er gebeurt naar MS? Dat helpt je zaak niet echt he.
En van de aantal bugs die maandenlang ongepatched gebleven zijn, zullen er wel een paar zijn die door meer dan 1 persoon ontdekt geweest zijn.

En als een bug met ernstige gevolgen voor de veiligheid die misschien nog niet actief gebruikt wordt 8 maand lang niet gefixed wordt, wat krijgt er dan wel voorrang? Een hele hoop kleine non-critical bugs? Wat een prioriteit man. We weten allemaal dat MS traag is in het patchen (ja sommige dingen gaan rapper dan anderen, maar MS staat hier toch echt berucht voor).
Dat is inderdaad wel erg lang om ongepatched te blijven. Traag in patchen zijn ze niet altijd hoor, daar staan ze echt niet voor bekend, écht niet. En ik weet niet of ze zoiets kunnen zien of het misbruikt wordt, maar er zullen wel meldingen binnenkomen van beveiligingsbedrijven en dergelijke
Traag is relatief. Sommige grote ernstige (maar misschien inderdaad nog niet bekende of veel gebruikte) bugs duren echt lang om gefixed te geraken (terwijl het niet in elk geval is omdat het moeilijk was, maar omdat ze het gewoon niet deden) en zelfs kleine simpele bugs blijven makkelijk een maand liggen. Dat is wel degelijk traag. Of beter: niet rap. En ik denk dat iedereen liever heeft dat iets ernstigs rap gefixed wordt dan dat iets miniems gefixed wordt in de plaats.
Maar het is relatief. In vergelijking met sommige andere bedrijven zijn ze wel traag. Op pakket basis zijn ze in vergelijking met andere vergelijkbare pakketten ook traag.
Het zal de laatste tijd onwaarschijnlijk over de grote lijn wel wat rapper gaan dan vroeger. Maar zeg nou eerlijk, hoeveel en hoe regelmatig heeft Microsoft updates/bugfixes voor zijn pakketten? Het kan een stuk rapper en regelmatiger.

Een deel van de snelheid of het gebrek daar aan zal wel liggen aan bedrijfspolicies en hierarchie. En een hele hoop andere bedrijfsonzin. Waar sommige andere projecten of bedrijven minder last van hebben. Maar dat is nog geen excuus om bugs die meerdere keren gemeld geweest zijn en ernstige gevolgen kunnen hebben voor langere tijd langs de baan te duwen.
Maar zeg nou eerlijk, hoeveel en hoe regelmatig heeft Microsoft updates/bugfixes voor zijn pakketten? Het kan een stuk rapper en regelmatiger.

Eens per maand is niet rap en regelmatig genoeg?
Als ze een kritieke bug vinden niet nee.
En als ze een bug een jaar ongepatcht laten dan heeft dat maandelijkse update rondje ook verder niet veel zin he.
Yup.

Dingen kosten nu eenmaal geld om ze te doen en zo zal ieder bedrijf wel iets hebben wat ze minder belangrijk vinden of niet veel geld (tijd en/of resources) willen tegenaan smijten. (en ik neem aan dat je dat ook wel weet, vermeld het gewoon voor de duidelijkheid)
Van een softwarebedrijf als Microsoft zou je toch wel kunnen verwachten dat ze er wat rapper bij zijn bij bugs fixen en updates uitbrengen (maar zoals ik zei, dat zal ivm vroeger al heel wat gebeterd zijn).
Hmm, misschien moet je dan hier eens een blik werpen:
https://technet.microsoft...ry/security/dn631937.aspx

En dat is waarschijnlijk nog geen compleet overzicht...
Een gesloten systeem kan natuurlijk net zo goed dergelijke exploits bevatten die dan niet ontdekt worden. In feite is dat echter wel een verkapte vorm van security by obscurity. Ik denk dat ik toch een voorkeur heb voor software die doorgelicht kan worden door iedereen met een computer en daarmee daadwerkelijk gewoon veiliger is of in elk geval gemaakt kan worden dan iets dat op een element van onduidelijkheid een mate van veiligheid bewerkstelligd.

[Reactie gewijzigd door Alpha Bootis op 5 juni 2014 14:37]

Probleem is dat ook met wat bekendere open source projecten, vele regeltjes code vele jaren ongelezen blijft. Waardoor de situatie in de echte wereld voor beide kampen vrijwel hetzelfde is.
Ik heb nog nooit de hele source code van programma's die ik gebruik gelezen, soms stukjes. Jij? Wie gaat GIMP van top tot teen doorlezen dan.
Tenzij je het zelf gelezen heb is FOSS niet direct beter te vertrouwen dan closed source.

[Reactie gewijzigd door batjes op 5 juni 2014 14:48]

Het is inderdaad opmerkelijk dat er nu op korte tijd zoveel ernstige fouten gevonden worden in belangrijke crypto libraries. Maar het is ook net omdat het OSS is dat nadat de eerste fout gevonden werd dat men nu met vele mensen naar die code kan kijken.
Ja en nee. Een gesloten systeem zorgt er voor dat niet jan & alleman in de source code kan neuzen. Helaas sluit dat niet uit dat overheden dat ook niet kunnen/mogen. Mogelijk hebben zij overeenkomsten met de software maker waardoor zij wel in de source code mogen neuzen. Waardoor zij dus wel op de hoogte zijn van mogelijke kwetsbaarheden en deze onder de hoed houden. In plaats van deze medetedelen aan de software maker.

Het een is niet perse beter dan het ander en vice versa.
Ah. Daarom dat je in dezelfde post de gesloten systemen aanprees? Je zou nog wel eens als een closedsource fanboy kunnen worden bestempeld.

*steekt de stempel ongebruikt terug weg*
Je reageert echter hetzelfde als de door jou zo mooi omschreven "jengelende" fanboys, geeft toch sterk de indruk dat je zelf ook niet vies bent van wat jengelend fanboyisme.
Maar het gaat mij gewoon erom dat dit opnieuw een slag in het gezicht is van de OpenSource gebruikers
Overdrijven is ook een vak ;)
Ik zie niet in waarom dit een slag in het gezicht is van de opensource community? Ik denk juist doordat dit een stuk opensource is, dat de bug gevonden en gemeld is. Dit is juist da manier waarop opensource werkt.

Het feit of iets open of closed source is heeft niks te maken met het aantal bugs wat er in de software zit / komt. Alle programmeurs maken fouten, daarom heb je ook dingen als code review. Bij opensource heb je alleen meer mensen die naar de code kunnen kijken en dus ook een grotere kans dat een bug gevonden word.
Dit stuk is alleen in het nieuws vanwege de heartbleed bug. Anders was het niet in het nieuws gekomen en was het gewoon gepatched en geüpdatet.
Als je opensourcesoftware gebruikt moet je gewoon een goede update procedure schrijven (dus niet zoals Avast). Iets wat trouwens veel mee bedrijven vergeten bij "opensource".

Wat betreft gesloten systemen, mede door gesloten systemen konden programma's als PRISM makkelijker worden uitgevoerd. VUPEN Security is daar een voorbeeld van, exploits in *vaak gesloten* software wordt verkocht aan de hoogste bieder.

[Reactie gewijzigd door nanoChip op 5 juni 2014 14:45]

Gebruikersaantal speelt ook een rol
In gesloten systemen kunnen ook deze bugs zitten, ze worden alleen niet zo snel gevonden, als ze al worden gevonden, de kans op langdurig misbruik is bij closed source aanmerkelijk groter.

OpenSSL word nu onder de microscoop gelegd, en waarschijnlijk worden er nog veel meer stukjes foute code ontdekt, en doordat het open is kunnen, en zullen er veel meer ogen naar kijken, daarmee wordt OpenSSL veel veiliger. Closed Source is afhankelijk van de eigen programmeurs of de enkele hacker die zo vriendelijk is eventuele gaten bekend te maken.
-1 onterecht: Ik zeg niks ongewenst, beledigends, ... Ik stel gewoon vast!
Ik twijfel tussen flamebait of troll. En daar wil ik het bij laten.

Dit was gewoon te verwachten. Door de Heartbleed bug is de aandacht voor de oude code ineens een stuk omhoog gegaan. Ook andere projecten liggen ongetwijfeld onder het vergrootglas, dus de kans is dat er nog wel meer van dit soort ellende boven komt.

Elk stuk software vanaf een bepaalde omvang heeft ellende. Open of gesloten veranderd daar niets aan. Open source fans die beweren dat fouten in open source sneller gevonden worden, hebben een roze bril op. Mensen die beweren dat closed source veiliger is omdat ze niks horen, sluiten hun ogen voor de realiteit.

En nu heb ik hier eigenlijk alweer teveel tijd aan besteed.
Dan twijfel je verkeerd :p Ik vind het goed dat er nu meer gekeken wordt naar de projecten en codes om zo'n dingen in de toekomst te voorkomen. Maar flameblait of troll, daar doe ik niet aan. Welk nut heeft het?
De manier waarop je je eerste reactie hebt geformuleerd had je kunnen vermoeden dat deze discussie zou komen. Ik denk dus dat die twijfel heel terecht is. Ook de rest van de reacties, voor zover ik de moeite heb genomen, steunen mijn vermoeden dat het een bewuste actie was.

En inderdaad, het is goed dat er naar oude code wordt gekeken.
Blijkbaar heb ik inderdaad een gedurfde discussie opengegooid van Open en Gesloten Systemen. Misschien was een andere formulering beter geweest, maar dan zou het misschien ook zijn doel gemist hebben
Maar je stelt wel verkeerd vast. Jij gaat er vanuit omdat bij een closed source systeem de bugs niet bekend gemaakt worden dat ze dus ook niet bestaan.

Hoe vaak horen we niet dat er ernstige lekken in MS software zitten en dat dit reeds maanden of zelfs jaren terug gemeld is geweest bij MS maar dat eerst de bom moet barsten voordat ze met een fix komen?

Nee, open source software is niet inherent veiliger maar ook niet onveiliger. De belangrijkste voordelen zijn dat iedereen de code kan inkijken en dus kan vertrouwen en dat alles wat word opgelost ook transparant gebeurd. MS kan een ernstig beveiligingslek verbergen door een patch uit te brengen met een generieke omschrijving als 'verbeteren van de veiligheid' zonder dat je kan nagaan hoe ernstig het is.
Simply previewing maliciously crafted RTF documents in Outlook triggers exploit of bug present in Windows and Mac versions of Word, Microsoft warns.
25 Maart 2014
http://www.darkreading.co...day-attack/d/d-id/1127891
The .NET Remoting implementation in Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, and 4.5.1 does not properly restrict memory access, which allows remote attackers to execute arbitrary code via vectors involving malformed objects, aka "TypeFilterLevel Vulnerability."
14 maart 2014
http://web.nvd.nist.gov/v...tail?vulnId=CVE-2014-1806
Open source is uiteraard veiliger.
Men kan de code inzien en desgewenst er iets van zeggen.
Probleem, en daar heb jij inderdaad gelijk in, is dat niet veel mensen dat doen.
Tot het te laat is.
Bij open source ben je afhankelijk van vrijwilligers die zin en tijd hebben om problemen te gaan zoeken in bestaande code. Bij closed source is er over het algemeen een commercieel belang dat er voor zorgt dat de leveranciers min of meer gedwongen worden om de boel zo veilig mogelijk te maken. Voor publiekssoftware betekent het imagoschade als er wat gevonden wordt, voor zakelijke software zijn er contracten waar de leverancier zich aan dient te houden.

En juist dat gemis aan commercieele belangen is de achilleshiel van open source software. Er is niemand die de developers "dwingt" om ergens aan te werken.
dat er voor zorgt dat de leveranciers min of meer gedwongen worden om de boel zo veilig mogelijk te maken
Hmm, was dat maar waar... In de praktijk zie ik dat veel leveranciers onderhoud tot een minimum beperken want dat kost alleen maar geld. En dat gebruikers liever nieuwe features zien dan een veiligheidsupdate.

Ik zie daartegen ook wel in open source dat iets drastisch wordt gereviseerd, juist omdat er geen commercieel belang speelt.

Dat de een beter is dan de ander is wishfull thinking. Het enige voordeel van open source is vrijheid. Vrijheid om de code te laten reviewen door een security bedrijf voor je het gaat gebruiken. Vrijheid om te forken als de ontwikkeling je niet aan staat. Vrijheid om het te porten naar je systeem van keuze.
In gesloten systemen zitten net zo goed bugs, alleen is het lastiger om deze te vinden.
Leve het veilige gesloten Windows XP zonder grote problemen!
Het feit dat de developer het (nog) niet gevonden heeft wil niet zeggen dat iemand anders het al niet doorheeft en eventueel al misbruikt.
Velen geeft altijd maar af op gesloten systemen, maar daar hoor ik geen grote problemen bij...
Laat dat nou precies het probleem zijn ;)
Je begrijpt mij mogelijk, maar lijkt geheimhouding geen enkel probleem te vinden.

Het "probleem" van een gesloten systeem is dat ook eventuele bugs en zwakheden niet worden geopenbaard. En dat de software ook niet door iemand anders dan de ontwikkelaar zelf bekeken kan worden.
Het voordeel van open-source is dat ook anderen er naar kunnen kijken, zoals nu bij OpenSSL veel het geval is. Hierdoor worden dikwijls meer gevonden en geplet dan wanneer de ontwikkelaar zelf er als enige naar kijkt.
Daar komt bij dat eventuele fouten die worden gevonden ook openbaar worden gemaakt. Zodat iedereen van een eventuele zwakheid weet en er voor kan kiezen om zijn/haar systemen te patchen of de software niet langer te gebruiken.
Bij gesloten software ben je overgeleverd aan de expertise en loslippigheid van de ontwikkelaar. En je kunt niet exact weten wat voor code je eigenlijk draait.
Dacht dat juist ssl certificaten man in de middle aanvallen moesten tegen gaan :S, daar gaan we weer alle servers patch :(
Dacht dat juist ssl certificaten man in de middle aanvallen moesten tegen gaan :S, daar gaan we weer alle servers patch :(
Voor zover ik dat kan opmaken uit het bovenstaande artikel vind de aanval feitelijk plaats voordat er een volledige SSL verbinding tot stand is gekomen.
Een aanvaller kan met behulp van het beveiligingsprobleem zwakke versleuteling in een OpenSSL-verbinding afdwingen als hij in staat is om het netwerkverkeer te onderscheppen.
Volgens mij wordt het algoritme bepaald voordat de verbinding tot stand is gekomen, door een zwak/kapot algoritme af te dwingen kan men daarna het verkeer ontsleutelen.
Als ik me niet vergis is dit een van de zaken die ze er in LibreSSL snel uitgesloopt hebben, dat de handshake naar een ouder, minder secure, protocol kan downgraden.
Dacht dat juist ssl certificaten man in de middle aanvallen moesten tegen gaan
Dat is het principe ook, maar dat werkt dus niet per se als er een bug in de software zit 8)7
Dacht dat juist ssl certificaten man in de middle aanvallen moesten tegen gaan :S, daar gaan we weer alle servers patch :(
Nee, SSL certificaten geven een beveiligde verbinding eigenlijk een status, waarbij certificate authority erkent dat deze verbinding écht met de server is, die het certificaat verteld dat het is, door het signature die het certificaat aanbied. Als ik jouw certificaat weet na te maken / kopiëren en middels een virus of malware of wat dan ook, tussen jou en de server weet te komen, dan pas spreek je van een man in the middle en zou ik, bij wijze van spreken, de data die door de verbinding gaat ontsleutelen en dus bespioneren.

Voor verduidelijking: https://www.owasp.org/index.php/Man-in-the-middle_attack

[Reactie gewijzigd door CH40S op 5 juni 2014 18:54]

Zojuist al deze patchronde gedaan.. Lees net nu pas op tweakers, achjah ze stellen je in iedergeval attent op de update :)

#GoedBezigTweakers
Inderdaad :) Goed bezig tweakers
Misschien handig voor de iets minder hardcore systeembeheerders onder ons:
Waar kan je dit soort nieuws lezen voor dat het op bijv. Tweakers staat?
Dan kun je altijd kijken op security.nl (Security bugs).

Verder gewoon checken op updates. Ik werk in de IT (#Logic) en ik heb bijna elke dag wel een linux bak voor me (Microsoft gebruikt een eigen SSL Librairy, dus haar eigen producten zijn niet vatbaar). Ik doe standaard een rondje updates als ik inlog, en als ik interessante/belangrijke updates zie doe ik een patchrondje.
Het is misschien wel goed dat die vorige bug aan het licht kwam. OpenSSL word nu volgens mij beter on de microscoop gehouden opzoek naar bugs en dat is alleen maar een goed iets. Vooral met systemen die werken met privacy gevoelige informatie.
Ze (OpenBSD) zijn er nog steeds met LibReSSL bezig: http://freshbsd.org/searc...penbsd&q=file.name:libssl

Tot die tijd is dat project enkel OpenBSD compatible. Als ze er mee klaar denken te zijn wordt het geport naar andere processor architecturen en besturingssystemen.
Het is misschien wel goed dat die vorige bug aan het licht kwam.
Schijnt dat Heartbleed, de vorige bug, al jaren bekend was, maar nog niet gefixed werd. Tot deze publiekelijk bekend werd gemaakt.
Bekend bij wie...
Onder meer Firefox en Chrome gebruiken een andere ssl/tls-library dan OpenSSL, waarmee gebruikers van die browsers niets te vrezen hebben.
Ook IE gebruikt een andere ssl/tls library. Blijkbaar wordt IE alleen in nieuwsartikelen genoemd als het negatief in beeld komt :O
Blijkbaar wordt IE alleen in nieuwsartikelen genoemd als het negatief in beeld komt :O
Kennelijk moet men de huidige IE als zijnde ¨genezen verklaard¨ benoemen. Waarbij toekomstige onvolkomenheden net zo goed bij een andere browser hadden kunnen optreden.
Als de wantrouwenden onder ons IE blijft boycotten wordt het nooit wat.
In tegenstelling tot de genoemde browsers is IE geheel closed source, waarmee op voorhand al uitgesloten is dat ze OpenSSL gebruiken. Lijkt me niet onredelijk om aan te nemen dat de gemiddelde lezer hier dat weet ;) Dat Firefox en Chrome (op Android uitgezonderd) NSS gebruiken zal minder bekend zijn en is daarom wel het noemen waard.
Zou me niet verwonderen als OpenSSL nog een paar keer in het nieuws komt in de nabije toekomst.
Door die heartbleed-bug gaat iedereen nu natuurlijk zitten zoeken naar extra bugs...
Onder meer Firefox en Chrome gebruiken een andere ssl/tls-library dan OpenSSL, waarmee gebruikers van die browsers niets te vrezen hebben.
Niets te vrezen is misschien iets te optimistisch...Er zijn mogelijk mensen / organisaties die al andere bugs kunnen uitbuiten. Ik heb er geen vertrouwen in dat SSL doet wat het zou moeten doen als het gaat om NSA achtige instanties.
Goed dat OpenSSL flink onder de loep wordt genomen, eigenlijk enkel door het gevolg van de NSA-onthullingen als ik me niet vergis. Zo zie je maar Snowdens onthullingen zeer positieve resultaten als gevolg heeft, anders hadden we nu steeds met Heartbleed gezeten wellicht.

Overigens denk ik dat men beter OpenSSL kan uitfaseren en uiteindelijk over moet gaan op LibreSSL welke vooralsnog veel potentie heeft:
http://arstechnica.com/in...creator-of-libressl-fork/
Ik ben het deels met je eens wat LibreSSL betreft, alleen zou ik liever wachten tot de ontwikkelaars daarvan een "groen licht" geven, aangezien ze momenteel nog druk bezig zijn met het bijwerken van de code.
Net de grote patchronde achter de rug, kunnen we weer overnieuw beginnen.
Waarom pluizen ze dat spul niet gewoon helemaal uit, zodat er geen lekken meer in zitten?
Net de grote patchronde achter de rug, kunnen we weer overnieuw beginnen.
Waarom pluizen ze dat spul niet gewoon helemaal uit, zodat er geen lekken meer in zitten?
Ja waarom pluizen ze niet eerst heel Windows uit zodat er nooit meer een update hoeft te verschijnen...
Dan kunnen ze nog wel even bezig zijn :P maar daarom zijn er elke eerste dinsdag van de maand ook updates hé :P (van die fijne updates waar we ons allemaal aan ergeren omdat ze zo lang duren en dat de pc/server opnieuw opgestart moet worden...)
Ik denk dat het nooit water dicht gaat worden, maar ja dat is internet :)
Wederom is de beste remedie (voorzover mogelijk en dat is lang niet altijd het geval) niks onnodig aan internet hangen. Op PC's en smartphones een firewall installeren die ervoor zorgt dat alleen de apps die echt met internet moeten verbinden, daarvoor toegang krijgen.
Dus bijv. alleen een browser, email app. Maar geen Word of Photoshop of andere apps die niet constant internet nodig hebben, alleen bij een update.
We hangen alles aan internet, nodig of niet (tot de TV, thermostaat of slimme meter aan toe) en vervolgens klagen dat er veiligheidsproblemen zijn .....
Natuurlijk moet dit lek gedicht worden maar om alles zo open en bloot te stellen ....

[Reactie gewijzigd door skatebiker op 5 juni 2014 14:40]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True