Windows-verbod Google verbijstert experts
Beveiligingsexperts snappen niets van de beslissing van Google om Windows op de werkvloer te verbieden, sterker nog, ze denken dat het een PR-stunt is. "Apple’s Mac OS X is nou niet bepaald veilig. Als het om gerichte aanvallen gaat, zoals Aurora en het soort waar Google zich zorgen om moet maken, dan is de Mac mogelijk makkelijker te hacken omdat het de anti-exploit maatregelen mist die nu standaard in Windows zitten", aldus Ryan Narraine, security evangelist bij Kaspersky Lab.
Narraine begrijpt niet waarom Google tot de beslissing gekomen is. Zo worden de meeste Google producten gemaakt voor en gebruikt op Windows. "Hoe gaan softwareontwikkelaars producten maken voor een besturingssysteem dat ze niet mogen gebruiken?" Als de zoekgigant een probleem met algemene malware zou hebben, dan zou het volgens de beveiligingsexpert wel zin hebben om sommige afdelingen een alternatief besturingssysteem te laten gebruiken. "Maar als dit de reactie op de Aurora aanvallen is, dan stopt het bedrijf de kop diep in het zand."
Verder klopt het ook niet dat Windows onveiliger zou zijn, zo merkt Narraine op. "Hoe graag we ook Microsoft over security bashen, de nieuwste versies van Windows zijn het moeilijkst te hacken."
Probleem
Ook bij McAfee dat de Aurora-aanval bij Google onderzocht staan ze raar te kijken. Het heeft namelijk niets met technologie of besturingssysteem te maken, zegt David Marcus. De aanvallers mogen dan via een zero-day lek in Internet Explorer zijn binnengekomen, het werkelijke lek is niet besproken. "Mensen waren de zwakke schakel", aldus Marcus. De aanvallers kenden hun slachtoffers, wisten welke software ze gebruikten en wat hun rollen waren.
"De inlichtingen die de aanvallers verzamelden maakten Operatie Aurora tot een succes, niet het betrokken besturingssysteem. Mensen waren het doelwit." Het had dan ook geen enkel verschil gemaakt als Google Linux, Mac OS X of wat voor systeem dan ook had gebruikt. "Alles heeft kwetsbaarheden, met name de gebruikers van die systemen." Als aanvallers zoveel informatie over een aan te vallen bedrijven hebben, dan maakt het gebruikte besturingssysteem helemaal niet meer uit, aldus Marcus. Malware is tenslotte voor elk systeem te ontwikkelen.
Social engineering
"Het maken van de exploit is triviaal. Het enige dat ze moeten doen is het slachtoffer op een link laten klikken. Hoe meer ze over hun doelwit weten, des te waarschijnlijker dat gebruikers erop klikken." Marcus is dan ook duidelijk: "Social engineering en informatievergaring zijn technologie altijd te slim af. Dat is altijd al zo geweest en dat zal altijd zo blijven."
PR-stunt
Randy Abrams van anti-virusbedrijf ESET noemt de reactie van Google een PR-stunt, om te laten zien dat het bedrijf iets aan security doet door Microsoft de schuld te geven. Het is echter het patchmanagement van Google waar het probleem zat. "Wat dachten ze door een gedateerde versie van Internet Explorer 6 te gebruiken."
Ook Abrams is van mening dat bij een gerichte aanval het besturingssysteem geen rol speelt. "Google kan de eigen beveiliging dan ook veel meer verbeteren door de huidige versies van browsers te gebruiken en een beter patchmanagement toe te passen."
bij uitzondering mag het wel.. is ook al duidelijk eerder gezegd... de 'experts' moeten eerst luisteren en dan pas blaten.
"Hoe graag we ook Microsoft over security bashen, de nieuwste versies van Windows zijn het moeilijkst te hacken."
says who???
"Het enige dat ze moeten doen is het slachtoffer op een link laten klikken. "
rrrright... yum weigert bijvoorbeeld keihard unsigned packages te installeren en blijkbaar bij windows is 1 klik voldoende om je te laten hacken.. pfff
"Social engineering en informatievergaring zijn technologie altijd te slim af. Dat is altijd al zo geweest en dat zal altijd zo blijven."
oohh.. dus het proberen te beveiligen is sowieso onbegonnen werk? maw, mcafee haalt zijn eigen bestaans recht ook maar even onderuit? geestig...
"Randy Abrams van anti-virusbedrijf ESET noemt de reactie van Google een PR-stunt, om te laten zien dat het bedrijf iets aan security doet door Microsoft de schuld te geven"
errr.. was het MS niet die al jaren duur betaalde modder gooi campagnes voert tegen.. linux?
koekje van eigen deeg, goed goed kauwen zodat het gelijkmatig in je bloed komp.
"Google kan de eigen beveiliging dan ook veel meer verbeteren door de huidige versies van browsers te gebruiken en een beter patchmanagement toe te passen."
wie zegt dat google dit niet gaat doen dan ;)
hilarisch dit!
alle anti-virus experts opeens in rep en roer omdat google het heeft gehad met microsoft.
maar goed, ik zou waarschijnlijk ook slapeloze nachten krijgen als ik een vermogen verdiende aan de lekken in microsoft producten en nu opeens een groot bedrijf als google de zoveelste spijker in de doodskist van MS zie slaan.
dat google gaat ooit nog eens heel groot worden, mar my words ;)
the king is dead! long live the king!
Je moet wel behoorlijk dom zijn om bij Google producten alleen maar aan desktop-client applicaties te denken.
Dan zit je echt nog helemaal in een legacy PC model.
Het overgrote deel van Google's producten bestaat uit een search engine, gmail,gtalk, google apps, google maps en een ad-delivery systeem. Dat draait niet op Windows en wordt er niet op ontwikkeld.
Vergeleken daarbij zijn de Google PC desktop applicaties erg marginaal, zelfs als je javascript meerekent.
Als er één bedrijf is wat Microsoft desktops vrijwel totaal de deur uit kan doen, is het wel Google.
En een heel terechte keuze met alleen maar voordelen.
Zowel als PR statement (producten van de concurrentie gebruiken is gewoon een zwaktebod. Ballmer kan ook geen iPhone gebruiken), en de security wordt er zeker niet slechter op.
Het enige wat dom *zou* zijn is als Google zou denken dat ze met Linux of Mac desktops helemaal niets meer aan client security zouden hoeven doen.
Klinkt haast als een (fysiek)beveiligings bedrijf uit Kaapstad dat vertelt dat je in Tokyo ook streetcrime hebt.
Dan mag jij je ook afvragen of Google Chrome dan een goede keus is voor een browser op je PC, ik ben van mening niet meer. Wanneer een bedrijf een OS verbiedt, hoe testen zij dan hun software?
Ach, hoe dan ook, ze verliezen aanzien.
Vergeleken daarbij zijn de Google PC desktop applicaties erg marginaal, zelfs als je javascript meerekent.
Als er één bedrijf is wat Microsoft desktops vrijwel totaal de deur uit kan doen, is het wel Google.
Aangezien je de browser producten moet testen op hun gedrag in de omgeving van de gebruiker, moet je voor testdoeleinden alles hebben. Dus Windows machines met alle denkbare browsers en idem voor Apple, Linux (alle distros enz.) maar ook alle te supporten smartphones, tablets en wat er nog meer komt.
Je kunt daar uiteraard VM's voor gebruiken, maar anders kun je dingen bouwen die niet werken zoals bedoeld. Wel kun je stellen, dat je alleen op de laatste 2 versies werkt, met alle servicepacks en patches. Iemand die niet bijblijft heeft dan pech. (kan dan leuk worden want ik ken mensen die rustig met W2K pro doorgaan, want dat is vertrouwd en de pc doet het nog....)
Zoals eerder al aangehaald zijn de Google applicaties doorgaans niet voor MS producten ontwikkeld maar meer georienteerd op de browser, en die zijn OS-onafhankelijk (even de IE-integratie met Windows daargelaten). Ze kunnen dus prima developen zonder zelf Windows te draaien. Het is overigens niet eens gezegd dat ze HELEMAAL geen Windows systemen meer hebben, het kan zomaar zijn dat ze wel ergens Windows testmachines hebben staan. Dit zullen dan die machines zijn die de uitzondering gekregen hebben waar gisteren over bericht werd.
Ik denk niet dat Google zich nu veilig waant, en ik heb ze dat ook niet horen zeggen. Ongeacht wat voor OS je draait - security blijft een issue. Alleen een goed patchmanagement is niet genoeg, het zal je niet beschermen tegen 0day's. Een defense-in-depth strategie is nodig en die zullen ze ook vast wel hebben. Social engineering is zeker OOK een aspect hiervan, en ze zullen ook best wel hun mensen proberen wijzer te maken in dit aspect. Maar ja, er zullen altijd zwakke plekken blijven, en je kunt onmogelijk altijd AL je grenzen bewaken.
Men vergeet dat het Aurora offensief ook heel goed wel eens een zogeheten state-sponsored aanval kunnen zijn, ingezet door de Chinese overheid. In dat geval ben je als privaat bedrijf nagenoeg kansloos, zeker als de overheid in kwestie China is. Die zijn echt vrij ver met dit soort dingen, en hebben aanzienlijk meer resources dan Google.
Men is in 'rep en roer' omdat de argumenten vanuit beveiligingsoptiek nergens op slaan. Marketingtechnisch gezien is het echter een goede stap van Google. Verder zijn mijn inkomsten als beveiliger niet afhankelijk van de vraag welk OS we gebruiken op mijn werk ;)
Argumentatie van Google lijkt meer op propaganda.
Daarnaast maakt Windows gebruik van drivers die door derden worden aangeleverd. Drivers voor allerlei soorten hardware, die meestal voor weinig geld in elkaar gezet moeten worden omdat de kosten voor het ontwikkelen van de hardware zelf al hoog genoeg zijn en men de klant niet met extreem dure software wil opzadelen. Gelukkig maakt steeds meer hardware gebruik van vaste standaarden maar mijn TomTom en een andere GPS logger apparaatje heeft zijn eigen software waar ik toch wel enige twijfels bij heb als het gaat om de degelijkheid ervan.
Omdat Intel processoren te ligt zijn voor Windows 7 is support voor MSIE 6 uitgerekt zodat support op XP en MSIE tot 13 juli 2010 loopt....
MSIE is dus een actueel product.
1) Zorgen dat bedrijven toch met Microsoft producten blijven werken. Dus een marketing campagne voeren met artikelen zoals het bovenstaande. Er zullen er wel meer komen (Ah, artikele nummer twee staat al op deze site)
2) Producten voor de andere OS-en gaan maken. Maar dat kost tijd en geld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.