Waarom zijn het toch allemaal Windows exploits? Zouden criminelen/terroristen echt nog Windows gebruiken?
Je weet dat de NSA/CIA etc. etc. zich voornamelijk op 1 bepaald OS richten, dan ga je als crimineel/terrorist dat toch niet gebruiken.

Je kop in het zand steken. Dat werkt lekker.

Dus jij bent er voorstander van dat overheden vrij en blij in jouw computer rond kunnen neuzen omdat ze lekken in een OS niet melden aan de leverancier?

Zou jij het willen weten indien de politie een loper zou hebben weermee ze alle huizen in zouden kunnen?


Overigens hoef je hier niet te schreeuwen.

Idioot. Die exploits waren al in handen van criminelen. Nu kunnen antimalware bedrijven detectie maken en beveiligers de risico's inschatten.

De betrokken lekken hadden nooit moeten bestaan. Kennelijk is het niet mogelijk om foutvrij te programmeren, en als maker hoor je dus in tweede instantie ZELF voortdurend op zoek te gaan naar lekken. Kennelijk is het lucratiever voor Microsoft om dit aan de vrije markt over te laten, en daar heb je good guys, bad guys en een grijs gebied ertussen.

Kennelijk hebben we Microsoft niet hard genoeg gebashd. Maar ook doordat we hun lekke producten blijven kopen lachen hun aandeelhouders zich suf.

Echt bezopen om WikiLeaks de schuld te geven van deze puinhoop.

Volgens mij haal je oorzaak en gevolg een beetje door elkaar. Je moet niet boos worden op wikileaks maar op de NSA! Dat clubje is er voor verantwoordelijk dat ernstige lekken in besturingssystemen niet worden gemeld, maar worden achtergehouden voor spionage.

De normale "procedure" is dat wanneer je ene lek vindt je dta meld bijd e leverancier..
De NSA heeft daarin gefaald, die hebben een lek gevonden en dat misbruikt, waarschijnlijk op grote schaal.

Als je boos wilt zijn, reageer je af op de Amerikaanse overheid..
Ben je boos omdat je een geïnfecteerd systeem hebt, wees dan boo sop jezelf omdat je niet tijdig gepatched hebt.

eerst na denken en dan lullen helemaal mee eens (soeperees)

Ik denk dat er weer wat nieuws aankomt. De goegemeente is van twee feiten nog niet volledig op de hoogte.
Privacy bestaat door de USA niet meer en dat wereldwijd, ook niet minimaal meer.
Alle computers die er zijn zijn via de chip slaves op afstand van de sys admins van NSA of welke dienst dan ook.

Iedereen haktin op criminelen, op de boodschappers van het verhaal (schieten op de pianist) en niemand doet iets tegen de opdrachtgevers en hun handlangers, decriminele veroorzakers en bedreigers van de wereldeconomie. Neen, vier jaar lang of wellicht korter nog bij impeachment gaan we berichten horen hoe Trump het westen verraden heeft aan de Rus.

Koop een aldi computer park, zet het in je bedrijf, outsource naar de Yank, omdat je zelf overal de ballen verstand van hebt en je bent een dhimmi eerste klas van het hier heersende systeem. Ze hebben je te pakken en je bent te dom om het door te hebben. Je kan amper meer bewegen, man. Hou toch op Moira en andere collaborateurs van dit systeem hier. Jullie zult er nog veel leuks van gaan beleven. Waar je mee in zee gaat, zul je mee moeten roeien.

Vooral geen windows gebruik.
Gebruik een macintosh computer met Mac Os.
of stap over op google cloud services voor je bedrijf.
De NSA en CIA hacken alleen dat waardeloze windows.
Micro$hit moet verdwijnen.

Ik heb eigenlijk wel keihard gelachen om deze reactie.
Misschien moeten we maar allemaal onze muil houden xP

Wanneer komt wikileaks nou eens met aan paar sappige zero-daylekken in Linux die de NSA onder de pet probeert te houden?

Wat zo bezopen is dat Microsoft doodleuk het probleem weer bij de betalende klant lecht. Zo ook de Nederlandse woordvoerder deze week. "De patch is al lang uit". Ze hebben er zelf #$# 15 jaar over gedaan om een lek te dichten en dan de betalende klant afzijken die wat tijd nodig heeft om al die patches door de OTA straat te krijgen.

Don't shit where you eat...nou Microsoft komt er keer op keer mee weg.

Daar is onze "M$" troll weer. Hou toch eens op met je kinderachtige gedoe.
Je standpunten kloppen niet, en je ge-bash zorgt er alleen voor dat niemand je serieus neemt.

Grappig. Dat is precies wat mijn Turkse collega vijf jaar geleden zei. Inmiddels denkt die er anders over.


En voor die uitspraak geldt hetzelfde.

Als ik even optimistisch kijk, ja, in Nederland is dit inderdaad het geval. Met een kleine kanttekening:
http://www.bijzonderstrafrecht.nl/home/politie-gaat-boekje-te-buiten-tapgesprekken-in-strijd-met-de-waarheid-gerelateerd-in-ambtsedig-proces-verbaal
Ter verdediging van hun, dit is een incident, maar niemand is heilig.
In Amerika is dit echter minder transparant en daar worden exploit-tools gemaakt.
Je maakt deze tools niet zonder ze te gebruiken.
Menig IT'er zal wel eens bedrijfsmiddelen gebruiken voor een privé klusje, dus denk niet dat de geheime diensten zo safe zijn.
En dan plots komt de informatie op internet.

Technisch gezien kun je zonder Windows, tuurlijk.
Realiteit is echter dat men door hun baan of door gebrek aan technische kennis wel met Windows moeten werken.
Een goed voorbeeld van deze realiteit is Linux van München:
https://www.security.nl/posting/492236/M%C3%BCnchen+overweegt+Linux+de+rug+toe+te+keren

Dan moet je weten wat de NSA weet en wat er gelekt is.
Ooit gehoord van dewald or big data met schade analyse op teruggekeerde viegtuigen?

Het gaat er niet zo om om die zichtbare schade van de gevallen die we kennen. Het gaat om de schade van de gevallen die we niet kennen.
Aangezien er genoeg fouten in die andere os systemen zitten, zie de cve's die je om de oren vliegen. Dan is het raar dat wiki leaks daar niets van lekt. Alsof er een agenda met een bias is.

Als dat zo is is het andere onveiliger en kun je het beste bij de systemen blijven die zo in het nieuws gebracht worden.

Het stikt hier weer van de 'experts' zowel in taalgebruik als in manier van denken zijn jullie echt 'top of the bill', althans dat denken jullie vermoedelijk zelf

Hoe naïef ben je als je overheden vertrouwd en ook nog eens in de bangmakerij over terrorisme. Zelf al zou ik de overheid vertrouwen, dan nog is het een heel slecht idee om zero day lekken achter te houden. Je ziet toch wat er van komt?

Totdat een agent dat sleuteltje verliest/verkoopt/gestolen word en er dus crimminelen oneindig veel sleuteltjes van kunnen maken om overal in te breken, en dat is precies wat er nu aan de hand is.

De NSA is ook een (proest) gecontroleerd orgaan waar we niks van te vrezen hebben ..... kuch.

"als normale burget heb je niks te vrezen" O ja!? Je zal maar net op de operatietafel of intensive care van een (brits) ziekenhuis liggen als de stroom.uitvalt en/of de apparatuur werkt niet meer want gegijzeld.Of je zit ergens op 10 hoog vast in een kleine benauwde lift die blijft steken tussen de 9e en 10e etage. Of je nieuwe dure (gamer) pc wordt gegijzeld en is niet meer te gebruiken. Beetje domme en kortzichtige reactie dus. Verder heeft Moira gelijk,dit soort informatie hoeft niet in detail met grote publiek gedeeld,alleen met de antivirusbedrijven. Verder moeten hacking,hackers, malwareschrijvers,opdrachtgevers harder aangepakt en dus zwaarder bestraft plus pluk ze-wetgeving erop los laten. Laat ze maar bloeden lees dokken voor de schade die ze aanrichten. Verder vind ik dat dit soort grootschalige cyberaanvallen in de wet moeten worden ipgenomen als terroristisch misdrijf en ja zelfs als oorlogs (mis)daad. Dat kunnen betrokkenen zwaarder bestraft worden dan voor alleen hacking. Ook kan men hacking wellicht zwaarder straffen als men het per onderdeel bestraft,ik bedoel dit: malware schrijven apart misdrijf,malware toolkit verkopen zoals dat italiaanse bedrijf doet apart miisdrijf,malware toolkit kopen=apart misdrijf malware toepassen dus hacken is apart misdrijf als een hacker zelf een scriptje on mekaar draait valt dat onder malwareschrijven,verspreid hij zijn script valt dat onder malware (toolkit) verkopen (spyshops kun je dan ook aanpakken) en als de hacker de malware toepast dus hacked en in een pc of account van iemand binnendringt is dat apart misdrijf en heect dan dus al.meedere vergrijpen begaan die apart dienen te worden bestraft dan de straffen bij ellkaar optellen en je kunt zelfs de three strikes and you are out -wetgeving toepassen en in day geval levenslange celstraf voor de hacker.

Ben ik ook heel benieuwd naar. Hoe eerder alle stenen boven komen, hoe beter het uiteindelijk wordt.
Overigens heeft Linux de afgelopen jaren een aantal vette bugs achter de rug, die er al jaren in bleken te zitten en werden "herontdekt" door onderzoekers. Waarom heeft dit niet tot megaschade heeft geleid als Wannacry doet? Geen idee. Het zou kunnen dat alle NSA lekken zoveel leuks opleveren aan de cybercriminelen, dat ze nu nog een tijdje hun handen vol hebben aan het kapot maken van Windows desktops. En wij doen er goed aan om niet aan te nemen dat andere platformen dus veiliger zijn.

Wetgeving maken rond zero-days. Strafbaar stellen als deze achter worden gehouden. Uiteraard dienen individu-en, bedrijven maar vooral ook overheden zich daaraan te houden.

Helaas is dat eigen orgaan lang niet altijd onder controle

https://nl.wikipedia.org/wiki/Moord_op_Milly_Boele

http://www.telegraaf.nl/binnenland/27538542/__Ontslag_agent_na_webcamseks__.html

https://www.metronieuws.nl/nieuws/binnenland/2016/10/cel-voor-ex-agent-en-partner-na-kindermisbruik

Google zelf maar verder, de lijst is langer.

@Anoniem van 12:35

En ik zie al wat er gebeuren gaat. Klein Russisch hackertje als voorbeeld en ter afschrikking 27 jaar de slammer in het land van de free and the bold in douwen. Herinneren we ons die autist uit de UK nog, die openstaande NASA systemen zogenaamd binnendrong en voor miljoenen schade aanrichtte. Bijna uitgeleverd.

De staatsmisdadigers uit Langley en Frankfurt veroordeeld krijgen voor wat ze doen. Ik zie het net zo min gebeuren als het veroordelen van de faciliterende multinationals tijdens de Neurenberg processen. De kleintjes bungelden aan de strop, de grote infrastructuur gelegenheidverschaffers als IBM met z'n hoolrith kaarten, en lui van IGFarben streken nog leuke EU baantjes op later.

Er is geen trust meer in de infrastructuur en geen transparantie om te weten wie er in eerste instantie al jaren verantwoordelijk voor zijn en voor de instandhouding van de brakke toestand. De lui van de denktanken achter de globale cyberonveiligheid worden echt nooit opgegrepen of hier voor veroordeeld.

Vraag is nu, alles boven water krijgen om te weten hoe ver het "balletje balletje spel" is gegaan en dan zorgen dat de boel echt veilig wordt. Maar dat zal de uitbuiter en de graaier van 1% tegen de rest van de wereld wel niet zo'n eerlijk idee vinden. In dat geval wordt je gelijk tot volksvijand nummer 1 gebombardeerd.

Hou je het stil, dan word het niet gefixed en kunnen die instanties indd doodleuk doorgaan.
Word het publiek, dan word het kort misbruikt en vervolgens snel gefixed.

Dus ja,. wikileaks zorgt er nu wel voor dat het voor microsoft moeilijk word om een exploit te negeren.

In Nederland misschien/waarschijnlijk/hopelijk wel, voor zover we weten.
Maar Internet kent geen grenzen en wat kan de politie uit Turkistan, of uit Verweggistan?
Denk maar aan de NSA!
De JSF prijzen zijn in Nederland besproken en een aantal van de overheids email zijn via Gmail gegaan (o.a. Minister Kamp).
Zo wisten ze misschien, dat er best een paar procenten op de prijs konden, en wij maar betalen.

Het enige wat ik op dit soort artikelen heb te zeggen is het volgende:

De wereld gaat nu eenmaal zoals het is. Hacks, corrupte organisaties van klein tot de allergrootste hebben en blijven de macht hebben over massapopulatie.
Velen zullen het niet met mij eens zijn maar dat maakt mij niet heel veel uit.

Deze organisaties hebben controle, geld, macht en veel (grote) connecties om allerlei plannen uit te voeren.
Het maakt ze niks uit of er wetten worden overtreden of dat de kansloze maatschappij hier achter komt. Want ja, een stickertje CLASSIFIED en het is afgedaan. Natuurlijk komen er ook juristen etc. bij kijken maar de maatschappij komt toch niet alles te weten.

In mijn wereld zouden grote tech-bedrijven bezig zijn met een eerlijke samenwerking waarbij privacy hoog in het vaandel staat.
Dat geldt wat mij betreft ook voor overheden. Maar ja, wie ben ik op deze planeet van 7 miljard mensen?

Echt wat ben jij kortzichtig, je snapt er echt niets van hè... Allereerst zijn er nauwelijks terroristische aanslagen voorkomen, de Boston daders waren bekend, werden gevolgd, men wist dat er een aanslag gepleegd ging worden en toch hebben ze er niets aan gedaan... Daarnaast gaat het om privacy, dit is geen gunst maar een grondrecht... dat je niets te verbergen hebt betekent niet dat je alles hoeft te delen.

Je opmerking over het gebruik van Windows is niet terecht, genoeg organisaties verplichten hun medewerkers om Windows apparatuur te gebruiken. Ja gebruik van Linux of Apple is minder risicovol, maar ook die platformen worden steeds actiever aangevallen... (omdat steeds meer mensen ze gaan gebruiken).

Ja de politie is een gecontroleerd orgaan, dit betekent niet dat alles ook volgens het boekje gaat... Corruptie is altijd lastig om te voorkomen (maar laten we er vanuit gaan dat alleen kleinschalig gebeurt), dan zijn er nog minstens 600 agenten die (nog) niet gescreend zijn maar wel al maanden tot jaren aan het werk zijn (zie nieuwsberichten enkele weken geleden). Daarbij komt dat met de nieuwe wetsvoorstellen, de AIVD en MIVD meer rechten krijgen voor 'preventieve' dataverzameling en informatie en data mogen uitwisselen met andere buitenlandse veiligheidsdiensten. Hierdoor kunnen ze toch data verzamelen en mensen laten volgen, door bijvoorbeeld de CIA/NSA die volgens de Amerikaanse wet handelen...

Dus voordat je de volgende keer roept dat mensen of partijen hun BEK MOETEN HOUDEN, verdiep je dan eerst eens in hetgeen waar je je mee bemoeit. En als je niet weet waar je het over hebt... HOU DAN ALSJEBLIEFT JE MOND (gelukkig hebben we naast een privacy recht ook nog een zwijgrecht) ;-)

Precies dit. Maar je wordt snel voor aluhoedje uitgemaakt :')

Hallo allemaal, misschien kunnen we samen (als experts op dit gebied) de koppen bij elkaar steken en een ECHT veilig OS ontwerpen? Ipv bashen van allerlei toko's en het herhalen van argumenten en discussies.

Ahhh... Security through obscurity...
Zijn daar dus nog steeds believers in?

Dan heb je er wel verstand van zeg. Als Mac of Linux het markt aandeel had van Windows. Dan krijg je ook organisaties die om de zelfde redenen blijven steken op een oude distro van linux of Mac versie. Gebrek aan resources/ software die niet draait op nieuwe versie linux etc. Uiteindelijk stopt ook daar de ondersteuning voor en hebben ze het zelfde probleem als windows XP etc.

Tevens zijn oude Linux versies bijvoorbeeld ook gewoon kwetsbaar voor deze SMB bug (Samba/Cifs ook gebasseerd op SMB1). Oftewel als Linux of Mac echt een serieus markt aandeel had gehad. Was wannacry geschreven voor Linux. Werkt gewoon hoor. Maar ja het stelt geen reet voor op de client

Ga maar werken aan Haiku, of voor de Windows liefhebbers aan ReactOS.
Verder is er ook nog OpenSolaris en natuurlijk het op veiligheid ontwikkelde BSD.
Dan blijf ik wel werken aan het in Engeland in 2015 als veiligst vriendelijke bestempelde OS werken.

ik kan alleen een link uit 2014 vinden.
http://webwereld.nl/security/81036-britse-geheime-dienst-ubuntu-is-het-veiligst

Een kwetsbaarheid is een ding, de mogelijke impact ervan een andere.
Houd het erop dat onder de verschillende unices (BSD, Linux, Mac OS X, enz) heel algemeen gezegd een aantal dingen in de regel beter zijn opgezet. De meeste services (daemons) draaien in een "jail" of "sandbox", rechten zijn meestal niet veel omvangrijker dan nodig, door gebruikers schrijfbare bestanden zijn niet uitvoerbaar, niet voor iedere service een brakke GUI enz. Kortom, ook kwetbaarheden maar in de regel minder gevolgen.

De kwetsbaarheid van MS Windows is niet slecht een kwestie van veel gebruik. De meeste Windows systemen zitten vol met verouderde programmatuur, half verwijderde pakketten, resten van installers, enz enz enz, en met een beetje pech al fabrieks-af. Stelselmatige onhygiëne.

Dat Samba ook een implementatie biedt van de verschillen versies van de SMB protocollen wil niet zeggen dat daarin dezelfde fouten zitten als in de MS Windows implementatie. klein voorbeeld: Begin negentiger jaren leerde ik in een LAN Manager programmeer instructie dat bepaalde bufferlengtes bij mailpipes (?) vermeden dienden te worden; met padding e.d. moest je dus daarom heen programmeren. Bizar, temeer omdat naar mij bijstaat dat pas ergens rond 2005 verholpen werd. De open source implementatie door Samba kende dat probleem niet, wel dat ze rekening met het probleem in LAN Manager moesten houden om goed interoperabel te zijn.

Het gebrek aan kwaliteit in veel van de producten van Microsoft is des te stuitender als je je bedenkt dat op veel van die spullen een marge van 85% zat, een percentage dat normaliter alleen in heel extreme gevallen voorkomt in de economie en dan meestal de criminele kant ervan.

Windows is een groot platform en heeft veel gebruikers, veel meer dan Mac OS. Het is daarom een (economisch) interessant doelwit. Er zijn nog veel andere factoren die meespelen.
Als Mac OS de grootste zou zijn dan had ze het hetzelfde probleem als Windows, Zo simpel is het. Er zit namelijk in ieder OS heel veel bugs want dat gaat tegenwoordig om miljoenen regels code.

http://www.crunchyfriday.com/which-has-more-lines-of-code-windows-or-mac-osx/
https://en.wikipedia.org/wiki/Source_lines_of_code

Neem dan vervolgens onderstaande als leidraad:

(a) Industry Average: "about 15 - 50 errors per 1000 lines of delivered
code." He further says this is usually representative of code that has some
level of structured programming behind it, but probably includes a mix of
coding techniques.

Als je als fanboy niet rationeel kan denken dan moet je niet reageren. Elk platform heeft zijn voor- en nadelen. Er bestaat geen superieur platform.

Terroristen gebruiken ook gewone computers hoor en zelfs Facebook en sociale media. Net zoals spionnen overal accountjes onderhouden (anders verliezen ze hun targets). Terroristen hebben geen crypto nodig, met tradecraft voeren ze een publiek gesprek wat onschuldig klinkt, maar ondertussen. ... alleen met analyse van gesprekken, dus content, kunnen inlichtingendiensten patronen vinden in de codewoorden. De 9/11 aanvallers gebruikten ook geen versleuteld telefoonverkeer. Daarom is de hele metadata discussie onzin, want je krijgt guilt by association. Mensen sterven aan conclusies getrokken uit metadata. Het is leuk om snel diagrammen te tonen maar that''s it. Content analyse is zo onwijs belangrijk. Vooral als de metadata jou tot slachtoffer maakt doordat je op de verkeerde tijd op de verkeerde plaats was.

Natuurlijke heb je in strijdgebieden een ander beeld, denk aan koeriers, of de Taliban die op meetings telefoontjes van iedereen in een grabbelton gooit enz. Terroristen zullen in de regel nooit zonder tech leven omdat dit de aandacht trekt en verdacht maakt. Net zoals PGP in de gaten loopt. De beste manier om clandestien te leven is om juist regelmatig sociale media en tech te gebruiken. Vergelijk het met burner phones, die worden standaard al gedetecteerd en als je hem alleen aanzet voor gebruik scoor je hoger. En nog meer als er in jouw buurt 2 burners zich registreren op hetzelfde tijdstip... meestal is dat een indicatie voor criminele activiteiten. Of de AIVD. Maar Abu Plofzor niet want die zit familiefotos te kijken op zijn iPhone.

Moraal van het verhaal: content is alles that matters. En perspectief....

Voor de achtergronden van sofrwarekwaliteit zou je moeten verdiepen in de werken van b.v. E Dijkstra.
Met wat modieus bashen toon je dat daar benul van hebt.

Operationeel risicomanagement afgekort als OR is ook een wetenschap. Tegenwoordig een onderdeel van big data. Gezien de hoeveelheden. coderegels gelden de statistische wetmatigheden. Vergeet maar dat oss veiliger is, de meest idiote fouten in software ontwerp zijn en worden gemaakt.

Het is niet voor niets, dat steeds meer cloudservers van Microsoft op Linux werken, waarom het wiel uitvinden als er een gratis goed wiel is.
Ook de mogelijkheid, om een aantal Linux varianten te installeren binnen Windows is een goede stap vooruit, evenals de mogelijkheid om Linux programma's binnen Windows te gebruiken.
Op dit moment vindt er veel en vaak overleg en samenwerking plaats tussen o.a. Microsoft, RedHat en Canonical hierover.
Het zal mij niets verbazen, wanneer Windows straks de volledige Linux kernel gebruikt en niet meer compatible is met oudere versies.

Is de wens de vader van mijn gedachten?