Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Microsoft ruziet met Red Hat over beveiligingslekken (Podcast)

04-11-2008, 17:07 door Redactie, 10 reacties

Het rapport van Microsoft topman Jeff Jones over het aantal beveiligingslekken in de populairste besturingssystemen sloeg weer eens in als een bom. Volgens de softwaregigant is het de ontwikkelaar met het minste aantal lekken, iets waar Red Hat het niet mee een is. In de Podcast laat Jan Wildeboer weten dat Microsoft's rapport los van de realiteit staat en zelfs niet klopt. "Het is altijd een verschil tussen wat Microsoft vindt wat gevaarlijk is en wat Red Hat vindt dat gevaarlijk is. Gezien de geschiedenis van veiligheidsproblemen met besturingssystemen, heeft Microsoft daar een iets andere visie op dan de ervaring die wij met onze klanten delen."

En er wordt nog meer geruzied in de Podcast, want de Waterschappen reageren voor de rechtbank over het gevoerde proces en waarom het stemgeheim wel goed geregeld is. De Stichting Wij Vertrouwen Stemcomputers Niet reageert op de zaak en de verdediging van de waterschappen. Rop Gonggrijp gelooft er geen hout van dat de zaken wel op orde zijn.

Win een meerfactor-authenticatie token
Na al het geruzie is er ook goed nieuws, want Yubico vertelt over hun token dat meerfactor-authenticatie realiseert. Het device is licht, robuust en handig. De onderneming heeft de backend als open-sourcesoftware beschikbaar gemaakt. Onder tien mensen die binnen een week reageren in dit forumtopic is er een kleine loterij om zo’n USB-key te winnen.

Wil je meer ruzies tijdens de Podcast horen? Zie je Brenno als de Nederlandse Jerry Springer, vind je dat de onderwerpen te lief zijn of wil je meer prijsvragen? Laat het ons weten. Wensen, feedback en commentaar op de podcast zijn natuurlijk ook gewoon welkom.

Reacties (10)
04-11-2008, 17:42 door Preddie
ik denk dat beide bedrijven allebei een andere visie op veiligheid hebben.

Als je nagaat dat een gemiddeld programmeur ( proff ) ongeveer 1 fout per 1000 code regels maakt, moet ik na geven dat microsoft het nog aardig doet. Tuurlijk staat microsoft bekend om zijn verleden maar ik denk dat dit ookk groot en deels aan de media te danken is en het grote poplulairiteit van het besturingssysteem, wanneer linux een markt aandeel van 95% had en zoon verleden als microsoft zouden de rollen nu precies omgedraaid zijn denk ik ....
04-11-2008, 17:50 door Anoniem
Door Predjuhik denk dat beide bedrijven allebei een andere visie op veiligheid hebben.
daar ben ik het volledig mee eens.
alleen ligt de nadruk nog steeds te weinig op beveiliging.mischien als (beide) eens eerst alles goe dtesten voor t op de markt komt dat veel problemen ondervangen kunnen worden.
neem nou een MS.
ze komen er al sinds windows 1 mee weg elke keer weer een heel duur product op de markt te brengen wat niet (verre van dat) af is.en elke keer maar (achteraf) patches uitbrengen.
linux ander verhaal , winst oogmerk is wat minder en opensource.

maar stel je voor je koopt een nieuwe volvo of bmw ofzo , en na een aantal maand belt je dealer je op , dat je ff moet terug komen , want er zaten geen veiligheids gordels in en in de toekomst gaan ze nog een kreuk zone aanbrengen.
dan koop je zo'n auto toch ook nie?

en yubico brengt weer wat leuks op de markt.... we zullen zioen.:D

greetz.
glitch
04-11-2008, 18:46 door Dr.Wh4x
Dat geruzie om niks ook altijd, ok veilige software bestaat en zal er nooit komen aangezien de mens de bug is ;-)
Maar je moet bedrijven niet onderuit gaan halen. En grappig dat Microsoft zegt "veiliger" te zijn in opzichtte tot andere OSen. (WIndows update exploit iemand ?) En de reden dat Linux-distro's meer beveiligingslekken hebben omdat de broncode publiekelijk toegangkelijk is, daar hoor ik Microsoft niet over.

Het zijn niet oude wijven ze zeiken maar wat :P
05-11-2008, 00:57 door Maartenh
Ik zeg laten we niet weer de eeuwige closed source / open source discussie beginnen.
Iedereen is anders en kiest daarom ook anders.
Maar die USB-Key werkt die ook op Fedora?
Groetjes
05-11-2008, 09:24 door deRoode
Een heel duidelijk verhaal (podcast, engels) over de Yubikey vind je op de site van Gibson Research Corporation:

http://www.grc.com/sn/notes-143.htm

Zowiezo zijn de Podcasts van GRC een aanrader, weliswaar in het engels en vrij technisch, maar met heel veel nuttige en actuele info.

De Yubikey werkt als een USB keyboard. Als Fedora een USB keyboard ondersteunt zal de Yubikey daar ook op werken. Er is een SDK om zelf een back-end te bouwen, of je kunt hem gebruiken i.c.m. bestaande OpenID aanbieders die deze key ondersteunen.

N.B. de Yubikey is dus geen memory stick

http://www.yubico.com/products/apps/
05-11-2008, 10:51 door rkroneman
Welk besturingssysteem de meeste bugs bevatten lijkt me een non discussie.
Alle software bevat bugs.

Veel belangrijker is de vraag of deze lekken te managen vallen en of de daaraan verbonden risico's te beheersen zijn.

Is een systeem met één lek waar een lange tijd geen oplossing voor is risicovoller dan een systeem waar 1000 lekken in zitten maar die binnen een week gepatched worden.
Of bepalen de(vertrouwelijke) gegevens die via de systemen beschikbaar worden gesteld het risico

In mijn optiek zijn beide heren dus verkeerd bezig
05-11-2008, 12:12 door Maartenh
Door deRoodeEen heel duidelijk verhaal (podcast, engels) over de Yubikey vind je op de site van Gibson Research Corporation:

http://www.grc.com/sn/notes-143.htm

Zowiezo zijn de Podcasts van GRC een aanrader, weliswaar in het engels en vrij technisch, maar met heel veel nuttige en actuele info.

De Yubikey werkt als een USB keyboard. Als Fedora een USB keyboard ondersteunt zal de Yubikey daar ook op werken. Er is een SDK om zelf een back-end te bouwen, of je kunt hem gebruiken i.c.m. bestaande OpenID aanbieders die deze key ondersteunen.

N.B. de Yubikey is dus geen memory stick

http://www.yubico.com/products/apps/
Bedankt heb ik weer wat geleerd
05-11-2008, 14:00 door Preddie
Door Anoniem
Door Predjuhik denk dat beide bedrijven allebei een andere visie op veiligheid hebben.
daar ben ik het volledig mee eens.
alleen ligt de nadruk nog steeds te weinig op beveiliging.mischien als (beide) eens eerst alles goe dtesten voor t op de markt komt dat veel problemen ondervangen kunnen worden.
neem nou een MS.
ze komen er al sinds windows 1 mee weg elke keer weer een heel duur product op de markt te brengen wat niet (verre van dat) af is.en elke keer maar (achteraf) patches uitbrengen.
linux ander verhaal , winst oogmerk is wat minder en opensource.

maar stel je voor je koopt een nieuwe volvo of bmw ofzo , en na een aantal maand belt je dealer je op , dat je ff moet terug komen , want er zaten geen veiligheids gordels in en in de toekomst gaan ze nog een kreuk zone aanbrengen.
dan koop je zo'n auto toch ook nie?

en yubico brengt weer wat leuks op de markt.... we zullen zioen.:D

greetz.
glitch

Ik vind het voorbeeld van die auto een hele mooie :P

Het is absoluut waar wat je zegt en ik ben er het er mee eens dat een bedrijf een degelijk product moet leveren zezker als ze er "ZOON" hoge prijs voor bereken terwijl je ziet dat linux op veel gebieden beter ontwikkeld is als windows en dat gratis en voor niks te downloaden met de mogelijkheid om je dank uit te spreken in de vorm van een donatie naar de ontwikkelaars van het project.

Echter vind ik ook dat je een besturingssysteem of software anders tegen het licht moet houden. Een auto is voornamelijk voor functioneel gebruik en daarbij komt kijken dat er weinig mensen op uit zijn een auto anders te gebruiken dan het hoort tenzij men daarmee hun doel wil bereiken. Daarbij doel ik ook op het feit dat wanneer een auto een deurvergrendelingssysteem waarbij blijkt dat het veilig is maar er naar een aantal maanden misschien jaren toch blijkt dat het systeem op "makkelijke" manier te kraken is zal deze auto in veel gevallen terug naar de dealer moeten op het "gat" vervolgens te dichten. Als het nu zo is dat 95% van alle auto's zoon deurvergrendelingssysteem hebben wordt het voor meer mensen interressant om te kijken of dat zij een fout in het systeem kunnen vinden. De kans is dus groter daar sneller en/of meer gevonden wordt.

En als ik het van die kant bekijk moet ik zeggen dat windows dat goed geregeld heeft met het updaten. ook laten ze daar ook regelmatig steekjes vallen doordat ze fouten te lang na melding patchen.
07-11-2008, 21:11 door Anoniem
Was dat nu alweer de telefoon van Brenno die ik hoorde in deze podcast? ;-)

Verhaal over Windows en Redhat had voor mij niet gehoeven, vond ik redelijk slap en oninteressant.

Het stuk over het stemmen voor de waterschappen was ok. Al boeit het stemmen voor de waterschappen me totaal niet.
Rop Gonggrijp slaat de spijker wel op zijn kop. Hij weet in duidelijke taal uit te leggen waarom deze manier van stemmen totaal onbetrouwbaar is. Goed dat zijn stichting dit soort zaken aan de kaak probeert te stellen.

In de volgende podcast wellicht eens verder ingaan op de nadelen van het elektronisch patiëntendossier?

Leuke podcasts, ga zo door! By the way.. ik wil die Yubico token wel testen!
07-11-2008, 21:13 door rmulder
Was dat nu alweer de telefoon van Brenno die ik hoorde in deze podcast? ;-)

Verhaal over Windows en Redhat had voor mij niet gehoeven, vond ik redelijk slap en oninteressant.

Het stuk over het stemmen voor de waterschappen was ok. Al boeit het stemmen voor de waterschappen me totaal niet.
Rop Gonggrijp slaat de spijker wel op zijn kop. Hij weet in duidelijke taal uit te leggen waarom deze manier van stemmen totaal onbetrouwbaar is. Goed dat zijn stichting dit soort zaken aan de kaak probeert te stellen.

In de volgende podcast wellicht eens verder ingaan op de nadelen van het elektronisch patiëntendossier?

Leuke podcasts, ga zo door! By the way.. ik wil die Yubico token wel testen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.