Vervang "Windows-" met "Linux-" en je bent nog steeds net zo juist...

Uiteraard zitten er nog duizenden lekken in Windows.
Je kan een grove schatting maken door het aantal regels code te vermenigvuldigen met een bepaalde foutfactor.
Deze foutfacter is wel omlaag gegaan met allerlei extra interne checks door Microsoft.

Wat is win32.sys? Ik kan het niet als bestand vinden in mijn Windows XP directory...

Dat komt omdat het Win32k.sys is. Is fout overgenomen.

"Op dit moment schat Mandt dat er mogelijk nog honderden lekken verstopt zitten."
"Er zullen waarschijnlijk meer lekken zin, maar het is lastig om te vertellen hoeveel."

Zo kan ik ook schattingen afgeven.

Als dit enorme risico zo eenvoudig te misbruiken is en er al 15 jaar inzit, dan vraag ik me af waarom het niet misbruikt is. Ik vermoed dat het in theorie een mooi plaatje is, maar dat het in de praktijk een stuk minder eenvoudig te misbruiken is.

Dat win32k.sys al 15 jaar in Windows zit betekent niet dat er in de tussentijd niets aan dat bestand is veranderd ;)

Hij spreekt zichzelf ook een klein beetje tegen. Aan de ene kant zegt hij dat er "mogelijk nog honderden lekken in zitten" maar aan de andere kant zegt hij ook "het is lastig om te vertellen hoeveel". Met andere woorden hij gist maar wat. En vermoedelijk dikt hij de getallen een beetje aan, da's mooie reclame voor zijn presentatie.

Mmm.. Het is inderdaad vaak niet lastig. het feit dat er een fout in softwarecode zit, houdt niet automatisch in dat het te misbruiken is. Het was beter om te spreken over fouten in plaats van over lekken. Een lek is immers te misbruiken, een fout niet noodzakelijk. Bovendien is het niet altijd makkelijk om een lek te misbruiken door additionele beveiliginsmaatregelen.

alleen jammer dat je altijd een wachtwoord nodig hebt he.

Wat voegt dit stuk toe? Er zitten waarschijnlijk nog fouten in Windows. En waarschijnlijk zitten ze ergens in een bepaald bestand . Maar we hebben geen bewijs.
Wat heeft deze meneer te winnen hierbij. Verkoopt hij iets?

In de basis zijn er 2 soorten fouten:

I) Functionele fouten waar gebruikers in de praktijk tegen aanlopen: die zijn er ondertussen wel uit;
II) Onbedoeld gedrag als gevolg van ongebruikelijke/onverwachte omstandigheden.

Die 2e soort kun je in 3 subcateroriën opdelen:
a) Als de fout optreedt doet het niets (noemenswaardigs);
b) Het leidt tot een crash (DoS);
c) Er wordt onbedoelde code uitgevoerd.

Subcategorie c kent effectief 2 varianten:
1) Remotely exploitable;
2) Privilege escalation.

Bij variant 1 kun je denken aan een gemanipuleerd plaatje in een webpage welke code bevat die uitgevoerd wordt door GDI (of een grafische schermdriver en eventueel GPU), of een gemanipuleerd netwerkpakket. Dit type fouten/lekken verwacht ik niet zoveel meer.

Onderzoek naar variant 2 loopt nog niet zo lang enerzijds omdat pas sinds Vista de bulk van de gebruikers niet meer met admin rechten werkt, en anderzijds omdat variant 1 lekken niet meer zo makkelijk te vinden zijn.

Botnetbeheerders willen bij voorkeur full control over hun zombies. Als een gebruiker dat niet heeft, zijn er 2 stappen nodig: een trojan of webbased exploit die gebruikersrechten krijgt en daarna een privilige escalation om systeemrechten te verkrijgen (bijv. om antivirus/firewalls grondig uit te kunnen schakelen/manipuleren, DNS settings wijzigen, services installeren, ook bij andere gebruikers dan zoonlief het internetbankieren kunnen "meebeleven" etc).

Een toename in privilege escalation kwetsbaarheden en exploits wordt allang door velen (waaronder door mij) voorspeld; iedereen die zich met serieus systeembeheer en het dichttimmeren van NT++ computers (en vooral terminal services) heeft beziggehouden, kon dit aan zien komen. Als Tarjei Mandt niet met concrete nieuwe voorbeelden komt is er niets nieuws onder de zon.

Er is er nog een. Namelijk een "gewone" code execution die geen privilege escalation oplevert en alleen lokaal te misbruiken is.

Niet noodzakelijkerwijs. De betreffende zombie-code kan over het algemeen prima z'n werk doen zonder admin rechten.

Wat een kennis en wijsheid, verlicht ons een met je expertise, wat is er zo onveilig aan "Linux"?

Klopt, je hebt gelijk!

Op PC's met één gebruiker die continu is ingelogd kan er nog steeds gespammed en ge-DDoS-ed worden, maar sommige hardcore netwerk aanvallen zoals ARP-spoofing kunnen dan bij mijn weten niet. Bij PC's met meerdere gebruikers is, zonder privilege escalation, de malware slechts bij het geïnfecteerde gebruikersaccount actief. Het uitschakelen van goede beveiligingssoftware is, zonder admin rechten, ook veel lastiger (zeker als er een wachtwoord op is gezet). Kortom zonder adminrechten kan malware nog wel wat, maar lang niet alles wat een aanvaller kan wensen.

ARP spoofing over internet werkt sowieso niet. En aangezien eigenlijk alle zombies worden gebruikt om via het internet iets aan te vallen is dat geen probleem dus.

Helemaal mee eens, maar hoeveel thuisgebruikers ken jij die aparte accounts hebben? Bijna overal waar ik kom logt 't ding automatisch in op een vast account. Zelfs op bedrijfscomputers zit eigenlijk altijd dezelfde persoon achter dezelfde computer.

Dat zou onmogelijk moeten zijn, anders is het bagger beveiligingssoftware.

Mee eens maar er is niet veel nodig. Een simpele TCP connectie waar je wat data over stuurt is feitelijk genoeg. Daarmee kun je spammen en DoS'sen. En als je meerdere zombies onder controle hebt wordt dat vanzelf een DDoS.

Wanneer jij een programma voor 1% gechecked hebt op lekken en al 2 hebt gevonden.
Dan kun je er vanuit gaan dat in de overige 99% ook 2 fouten per % zitten , dus dat je mag verwachten nog 99x2 = 198 lekken te tegen te komen.
Tenzij de eerste gechechte 1% niet representatief is voor de overige 99% , in dat geval zal je het geschatte aantal naar onder of naar boven bij moeten stellen.

ARP spoofing kan door aanvallers gebruikt worden om in het lokale netwerk andere PC's en/of servers te compromitteren (ik heb dit zien gebeuren).

Dat is niet mijn ervaring, maar het kan zijn dat ik goede invloed op mensen in m'n omgeving heb gehad ;)

Klopt, maar ik ken best veel mensen die uitloggen, waarbij de PC vaak wel aan blijft staan (helaas, want da's energieverspilling, het vormt een -welliswaar klein- brandrisico en, last but not least, het maakt de PC interessanter voor botnetbeheerders dan eentje diet niet 24x7 aan staat).

Ik vrees dat heel veel beveiligingssoftware updates downloadt ergens onder C:\Documents and Settings\All Users\ waarbij alle gebruikers schrijfrechten hebben gekregen in zo'n map. Onbegrijpelijk, onnodig maar gangbaar. Vaak zitten daar dan wel wat checks op maar zoiets is vragen om ellende (denk aan een kwaadwillende die een map aanmaakt met dezelfde naam als een bestand wat normaal gesproken gedownload wordt).

Ik ben het met je eens dat om te spammen en DDoSen een permanent ingelogde ordinary user net zo goed is als een admin account, maar niet elke user is permanent ingeloged en lokale aanvallen zijn lastiger. Bewijzen heb ik niet maar ik vermoed dat een zombie PC met full control meer waard is voor een botnetbeheerder dan eentje met slechts toegang tot een oprdinary user account.

Dat klopt maar ARP spoofing over het internet werkt niet.

Het boeit ze totaal niet of de machine wel of niet 24 uur per dag aan staat. Met die aantallen die ze infecteren zijn er ten alle tijden meer dan genoeg online.

Ook dat maakt ze totaal niet uit. Het gaat alleen om de aantallen, niet wat ze per machine kunnen.